La infraestructura de actualización del antivirus eScan, una solución de seguridad desarrollada por la empresa india de ciberseguridad MicroWorld Technologies, se vio comprometida por un atacante desconocido y se distribuyó un descargador persistente a los sistemas de empresas y consumidores.
«La actualización maliciosa se distribuyó a través de la infraestructura de actualización legítima de eScan, lo que resultó en la implementación de malware en múltiples etapas en terminales comerciales y de consumidores en todo el mundo», dijo el investigador de Morphisec, Michael Gorelik.
MicroWorld Technologies dijo que detectó un acceso no autorizado a su infraestructura e inmediatamente aisló los servidores de actualización afectados, que estuvieron fuera de línea durante más de ocho horas. También lanzamos un parche que revierte los cambios introducidos como parte de la actualización maliciosa. Se recomienda a las organizaciones afectadas que se comuniquen con MicroWorld Technologies para obtener la solución.
También determinó que el ataque se debió a un acceso no autorizado a una de las configuraciones del servidor de actualización regional, lo que permitió a los atacantes distribuir actualizaciones «corruptas» a los clientes dentro de un «período de tiempo limitado» de aproximadamente dos horas el 20 de enero de 2026.
«eScan experimentó una interrupción temporal en el servicio de actualización a partir del 20 de enero de 2026, lo que afectó a algunos clientes cuyos sistemas descargan automáticamente actualizaciones de ciertos grupos de actualizaciones durante ciertos períodos», dijo la compañía en un aviso emitido el 22 de enero de 2026.
«Este problema fue causado por un acceso no autorizado a la infraestructura del servidor de actualización regional. El incidente ha sido identificado y resuelto. Hay una solución integral disponible para abordar todos los escenarios observados».
Morphisec, que identificó el incidente el 20 de enero de 2026, dijo que la carga útil maliciosa interrumpió la funcionalidad normal del producto, impidiendo efectivamente la reparación automática. Esto implica específicamente la entrega de un archivo malicioso «Reload.exe» diseñado para eliminar a los descargadores. Este archivo contiene funciones para establecer persistencia, bloquear actualizaciones remotas y conectarse a servidores externos para recuperar cargas útiles adicionales como «CONSCTLX.exe».
Según los detalles compartidos por Kaspersky, el archivo legítimo ‘Reload.exe’ ubicado en ‘C:\Program Files (x86)\escan\reload.exe’ es reemplazado por un archivo malicioso que puede impedir futuras actualizaciones de productos antivirus modificando el archivo HOSTS. Firmado con firma digital falsa e inválida.
«Al iniciar, este archivo reload.exe comprueba si se inició desde la carpeta Archivos de programa y, en caso contrario, sale», dijo la firma rusa de ciberseguridad. «Este ejecutable se basa en la herramienta UnmanagedPowerShell, que puede ejecutar código PowerShell en procesos arbitrarios. El atacante modificó el código fuente de este proyecto agregando la funcionalidad de omisión AMSI y la usó para ejecutar un script PowerShell malicioso dentro del proceso reload.exe».
La función principal del binario es lanzar tres cargas útiles de PowerShell codificadas en Base64.
Modifique la solución eScan instalada para evitar que reciba actualizaciones o detecte componentes maliciosos instalados. Omita la interfaz de escaneo antimalware de Windows (AMSI). Comprueba si es necesario infectar más la máquina de la víctima y, de ser así, entrega una carga útil basada en PowerShell a esa máquina.
El paso de verificación de la víctima examina una lista de software instalado, procesos en ejecución y servicios contra listas de bloqueo codificadas, incluidas herramientas de análisis y soluciones de seguridad como Kaspersky. Si se detectan, no se entregarán más cargas útiles.
Una vez ejecutada, la carga útil de PowerShell se conecta a un servidor externo y devuelve dos cargas útiles: «CONSCTLX.exe» y un segundo malware basado en PowerShell que se inicia mediante una tarea programada. Tenga en cuenta que el primero de los tres scripts de PowerShell mencionados anteriormente también reemplaza el componente «C:\Program Files (x86)\eScan\CONSCTLX.exe» con el archivo malicioso.
«CONSCTLX.exe» funciona iniciando un malware basado en PowerShell y cambiando simultáneamente la hora de la última actualización del producto eScan a la hora actual escribiendo la fecha actual en el archivo «C:\Program Files (x86)\eScan\Eupdate.ini», dando la impresión de que la herramienta está funcionando como se esperaba.
El malware PowerShell realiza los mismos pasos de validación que antes, enviando una solicitud HTTP a la infraestructura controlada por el atacante y recibiendo más cargas útiles de PowerShell del servidor para su posterior ejecución.
Aunque el boletín de eScan no especifica qué servidores de actualización regionales se vieron afectados, el análisis de los datos de telemetría realizado por Kaspersky Lab reveló «cientos de máquinas pertenecientes tanto a individuos como a organizaciones» que encontraron intentos de infección con cargas útiles relacionadas con ataques a la cadena de suministro. Estas máquinas están instaladas principalmente en India, Bangladesh, Sri Lanka y Filipinas.
La organización de seguridad también señaló que los atacantes necesitarían observar más de cerca el interior de eScan para comprender cómo funciona el mecanismo de actualización de eScan y cómo podría manipularse para distribuir actualizaciones maliciosas. En este momento, no está claro cómo los atacantes obtuvieron el acceso a los servidores de actualización.
«En particular, es muy inusual que se introduzca malware a través de actualizaciones de soluciones de seguridad», dijo la compañía. «Los ataques a la cadena de suministro son raros en general, y mucho menos orquestados a través de productos antivirus».
Source link
