A infraestrutura de atualização do antivírus eScan, desenvolvido pela empresa indiana de cibersegurança MicroWorld Technologies, foi comprometida por agentes de ameaça ainda não identificados. O ataque permitiu a distribuição de uma atualização maliciosa que instalou um downloader persistente em computadores de empresas e usuários finais.
Segundo Michael Gorelik, pesquisador da Morphisec, o incidente envolveu o uso da própria cadeia legítima de atualizações do eScan para implantar um malware em múltiplos estágios. “Atualizações maliciosas foram distribuídas por meio da infraestrutura oficial do produto, resultando na infecção de endpoints corporativos e de consumidores em escala global”, afirmou.
A MicroWorld Technologies confirmou ter identificado acessos não autorizados à sua infraestrutura e informou que isolou imediatamente os servidores de atualização afetados, que permaneceram indisponíveis por mais de oito horas. A empresa também disponibilizou uma correção destinada a reverter as alterações introduzidas pela atualização comprometida e recomendou que clientes impactados entrem em contato para obter orientações adicionais.
De acordo com a companhia, o ataque foi viabilizado por uma violação em uma das configurações regionais do servidor de atualizações, o que possibilitou a distribuição de um pacote “corrompido” por um período limitado de aproximadamente duas horas, em 20 de janeiro de 2026. Em comunicado divulgado dois dias depois, a MicroWorld explicou que a interrupção afetou apenas um subconjunto de clientes que realizam atualizações automáticas a partir de um cluster específico.
A Morphisec, que detectou o incidente no próprio dia 20 de janeiro, apontou que a carga maliciosa compromete o funcionamento normal do antivírus ao impedir futuras atualizações. O ataque envolveu a substituição do arquivo legítimo “Reload.exe” por uma versão adulterada, responsável por instalar um downloader com recursos de persistência, bloqueio de atualizações remotas e comunicação com servidores externos para obtenção de payloads adicionais, incluindo o executável “CONSCTLX.exe”.
A Kaspersky também analisou o ataque e confirmou que o arquivo “reload.exe”, localizado originalmente em “C:\Program Files (x86)\eScan\reload.exe”, foi trocado por uma versão maliciosa capaz de impedir novas atualizações do antivírus por meio da modificação do arquivo HOSTS. Essa versão possuía uma assinatura digital inválida, projetada para simular legitimidade.
Segundo a empresa russa, o executável malicioso é baseado na ferramenta UnmanagedPowerShell, que permite a execução de scripts PowerShell dentro de processos confiáveis. Os atacantes adaptaram o código para contornar o Antimalware Scan Interface (AMSI) do Windows e executar scripts maliciosos diretamente no contexto do reload.exe.
O binário executa três payloads PowerShell codificados em Base64, com funções voltadas a adulterar o eScan para impedir detecção e atualizações, contornar o AMSI e validar se a máquina da vítima atende aos critérios para infecção adicional. Essa validação analisa softwares instalados, processos ativos e serviços em execução, comparando-os a uma lista de bloqueio que inclui ferramentas de segurança e análise, como soluções da própria Kaspersky.
Caso o sistema seja considerado “apto”, o malware se conecta a um servidor externo controlado pelos atacantes e recebe novos payloads, incluindo o arquivo “CONSCTLX.exe” e outro script PowerShell executado por meio de uma tarefa agendada. Um dos scripts iniciais também substitui o componente legítimo “C:\Program Files (x86)\eScan\CONSCTLX.exe” por sua versão maliciosa.
O executável CONSCTLX.exe atua executando código PowerShell adicional e, simultaneamente, altera o registro da data da última atualização do eScan no arquivo “Eupdate.ini”, criando a falsa impressão de que o antivírus está funcionando corretamente e atualizado.
O boletim oficial do eScan não detalhou qual servidor regional foi comprometido. No entanto, dados de telemetria analisados pela Kaspersky indicam que centenas de máquinas, pertencentes a indivíduos e organizações, sofreram tentativas de infecção associadas ao ataque à cadeia de suprimentos. A maioria dos sistemas afetados está localizada na Índia, Bangladesh, Sri Lanka e Filipinas.
Especialistas destacam que o ataque demonstra um profundo conhecimento técnico do funcionamento interno do eScan, incluindo seu mecanismo de atualização. Ainda não há informações sobre como os invasores obtiveram acesso inicial à infraestrutura comprometida.
“É extremamente incomum observar malware sendo distribuído por meio de atualizações de uma solução de segurança”, alertaram os pesquisadores. “Ataques à cadeia de suprimentos já são raros, e mais raros ainda quando exploram diretamente produtos antivírus.”
Fonte: The Hacker News
