Злоумышленники распространяли вредоносное ПО через сервер обновлений антивируса eScan

Пользователи антивирусного программного обеспечения eScan подверглись заражению вредоносным ПО после компрометации официального сервера обновлений. Информация об инциденте была опубликована 29 января компанией Morphisec, специализирующейся на кибербезопасности. Исследователи классифицировали произошедшее как атаку на цепочку поставок, в ходе которой легитимная инфраструктура использовалась для доставки вредоносного кода.

В бюллетене безопасности Morphisec отмечается:

«Вредоносные обновления распространялись через легитимную инфраструктуру обновлений eScan, что привело к развертыванию многоэтапного вредоносного ПО на конечных точках предприятий и потребителей по всему миру».

Согласно данным экспертов, поддельные обновления вносили изменения в настройки устройств, отрезая их от серверов eScan. Кроме того, была нарушена нормальная функциональность самого антивируса.

Технические характеристики инцидента

Затронутые пользователи получили файл Reload.exe, запускающий многоступенчатую цепочку заражения. Вредоносная программа выполняла следующие действия:

• модификация файла HOSTS для блокировки автоматических обновлений;

• создание задач в планировщике задач для обеспечения постоянного присутствия в системе;

• загрузка дополнительных вредоносных компонентов (пейлоадов).

В связи с характером внесенных изменений стандартные методы лечения оказались неэффективными.

«Автоматическое восстановление скомпрометированных систем невозможно. Пострадавшие организации и частные лица должны в упреждающем порядке связаться с eScan для получения обновления или исправления вручную», - говорится в отчете Morphisec.

Morphisec уведомила MicroWorld Technologies (компанию-разработчика eScan) об инциденте 21 января, спустя день после обнаружения подозрительной активности. Представители eScan сообщили, что зафиксировали несанкционированный доступ к своей инфраструктуре 20 января и немедленно изолировали затронутые серверы обновлений, которые оставались отключенными более восьми часов.

Для устранения последствий eScan выпустила специальную утилиту. Инструмент предназначен для очистки инфекции, отката вредоносных системных изменений и восстановления штатной работы антивируса. Получить его можно через службу технической поддержки компании.

Реакция разработчика и оценка ущерба

Несмотря на подтверждение факта взлома, реакция eScan на публичное раскрытие информации отличается от оценки исследователей. Индийский поставщик антивирусных решений выразил несогласие с тем, как Morphisec описала развитие инцидента, и с классификацией события как «атаки на цепочку поставок». Сообщается, что компания работает с юристами по данному вопросу.

При этом MicroWorld Technologies подтвердила инцидент в собственном бюллетене безопасности от 22 января, указав, что проблема затронула региональный сервер.

В заявлении eScan указано:

«Несанкционированный доступ к конфигурациям одного из наших региональных серверов обновлений привел к размещению некорректного файла (бинарного файла конфигурации исправления или поврежденного обновления) в канале распространения обновлений. Этот файл был передан клиентам, загружавшим обновления с затронутого кластера серверов в течение ограниченного периода времени 20 января 2026 года».

Хотя описание поведения системы после получения вредоносного файла в отчете вендора совпадает с техническими данными Morphisec, оценка масштабов разнится.

Такая трактовка событий противоречит отчету Morphisec, описывающему инцидент как критическое нарушение цепочки поставок. Представители eScan заявили, что в материале исследователей содержатся «многочисленные фактические неточности». Компания оспаривает выводы о поведении вредоносного ПО и характере воздействия на системы, утверждая, что сбой затронул лишь небольшое количество устройств в одном конкретном регионе, а не глобальную пользовательскую базу. При этом в eScan отказались уточнить, о каком именно регионе идет речь.