Admin
Администратор
Второй раз — это уже традиция. Антивирус eScan снова поймали на «сотрудничестве» с хакерами.
Кажется, разработчики забыли «сменить замки» после прошлого визита.
Компания MicroWorld Technologies, разработчик антивируса eScan, сообщила о несанкционированном доступе к одному из серверов обновлений, через который распространялся вредоносный файл. Инцидент произошёл 20 января 2026 года и затронул небольшую часть пользователей, получавших обновления с одного из региональных кластеров.
По утверждению компании, уязвимость не касалась самого антивирусного продукта — злоумышленники воспользовались доступом к конфигурации сервера, что позволило внедрить вредоносный файл в канал распространения обновлений.
В течение двух часов с момента начала атаки заражённый файл успели получить только те системы, которые обращались за обновлениями именно ко взломанному кластеру. Компания утверждает, что уже в день атаки была зафиксирована подозрительная активность, после чего сервер был изолирован, учётные данные — обновлены, а пострадавшим пользователям предоставлены инструкции по восстановлению.
Также eScan выпустила специальное обновление, предназначенное для устранения последствий атаки — оно автоматически выявляет и исправляет внесённые изменения, восстанавливает корректную работу службы обновлений, требуя лишь стандартной перезагрузки системы.
Отдельно о заражении сообщили специалисты Morphisec, которые зафиксировали вредоносную активность 20 января и позже опубликовали технический отчёт. По их данным, через легитимную инфраструктуру обновлений eScan распространялся изменённый компонент «Reload.exe», подписанный сертификатом eScan, но с недействительной подписью. Этот файл обеспечивал скрытность, выполнял команды, вносил изменения в системный файл HOSTS для блокировки обновлений и подключался к управляющим серверам для загрузки дополнительных вредоносных компонентов.
В ходе атаки использовались несколько серверов командного управления. Последним загружался файл «CONSCTLX.exe», выступавший в роли бэкдора и загрузчика. Установленные вредоносные файлы создавали задачи в планировщике Windows для закрепления в системе, маскируясь под стандартные имена.
Morphisec и eScan рекомендуют блокировать все задействованные в атаке домены и IP-адреса, чтобы предотвратить возможную повторную активность. В eScan подчёркивают, что большинство клиентов не пострадали и были своевременно уведомлены о произошедшем.
Это не первый случай, когда механизм обновления антивируса eScan используется для распространения вредоносного ПО. В 2024 году его уже эксплуатировали северокорейские хакеры для установки бэкдоров на корпоративные системы.
Последнее редактирование:
