La infraestructura de actualización del antivirus eScan, una solución de seguridad desarrollada por la empresa india de ciberseguridad MicroWorld Technologies, se ha visto comprometida por atacantes desconocidos para ofrecer un descargador persistente a los sistemas empresariales y de consumo.
«Las actualizaciones maliciosas se distribuyeron a través de la infraestructura de actualizaciones legítima de eScan, lo que resultó en el despliegue de malware en varias etapas en terminales empresariales y de consumidores de todo el mundo», dijo Michael Gorelik, investigador de Morphisec dijo .
MicroWorld Technologies ha revelado que detectó el acceso no autorizado a su infraestructura e inmediatamente aisló los servidores de actualización afectados, que permanecieron sin conexión durante más de ocho horas. También ha lanzado un parche que revierte los cambios introducidos como parte de la actualización maliciosa. Se recomienda a las organizaciones afectadas que se pongan en contacto con MicroWorld Technologies para obtener la solución.
También señaló que el ataque se debía al acceso no autorizado a una de sus configuraciones de servidores de actualizaciones regionales, lo que permitió a los actores de la amenaza distribuir una actualización «corrupta» a los clientes durante un «período de tiempo limitado» de unas dos horas el 20 de enero de 2026.
«eScan sufrió una interrupción temporal del servicio de actualización a partir del 20 de enero de 2026, que afectó a un subconjunto de clientes cuyos sistemas descargan automáticamente las actualizaciones durante un período de tiempo específico, desde un clúster de actualizaciones específico», dijeron desde la empresa dijo en un aviso emitido el 22 de enero de 2026.
«El problema se debió al acceso no autorizado a la infraestructura del servidor de actualizaciones regional. El incidente ha sido identificado y resuelto. Hay una solución integral disponible que aborda todos los escenarios observados».
Morphisec, que identificó el incidente el 20 de enero de 2026, dijo que la carga maliciosa interfiere con la funcionalidad normal del producto, lo que impide de manera efectiva la remediación automática. Esto implica específicamente entregar un contenido malicioso» Reload.exe «archivo diseñado para eliminar un descargador, que contiene funciones para establecer la persistencia, bloquear las actualizaciones remotas y ponerse en contacto con un servidor externo para obtener cargas útiles adicionales, que incluyen» CONSCTLX.exe ».
Según los detalles compartidos por Kaspersky, "Reload.exe", un archivo legítimo ubicado en "C:\Program Files (x86)\ escan\ reload.exe», se reemplaza por un homólogo no autorizado que puede impedir que se actualicen más productos antivirus modificando el archivo HOSTS. Está firmado con una firma digital falsa e inválida.
«Cuando se inicia, este archivo reload.exe comprueba si se ha lanzado desde la carpeta Archivos de programa y, de lo contrario, sale», dijo la empresa rusa de ciberseguridad dijo . «Este ejecutable se basa en la herramienta UnmanagedPowerShell, que permite ejecutar código de PowerShell en cualquier proceso. Los atacantes han modificado el código fuente de este proyecto añadiendo un AMSI le evitó la capacidad y la usó para ejecutar un script malicioso de PowerShell dentro del proceso reload.exe».
La responsabilidad principal del binario es lanzar tres cargas útiles de PowerShell codificadas en Base64, que están diseñadas para:
- Manipule la solución eScan instalada para evitar que reciba actualizaciones y detecte los componentes maliciosos instalados
- Omitir la interfaz de escaneo antimalware de Windows (AMSI)
- Compruebe si la máquina víctima debe seguir infectándose y, en caso afirmativo, envíele una carga útil basada en PowerShell
La etapa de validación de la víctima examina la lista de software, procesos en ejecución y servicios instalados comparándola con una lista de bloqueo codificada que incluye herramientas de análisis y soluciones de seguridad, incluidas las de Kaspersky. Si se detectan, no se entregarán más cargas útiles.
La carga útil de PowerShell, una vez ejecutada, contacta con un servidor externo para recibir dos cargas a cambio: "CONSCTLX.exe" y un segundo malware basado en PowerShell que se lanza mediante una tarea programada. Cabe destacar que el primero de los tres scripts de PowerShell anteriormente mencionados también reemplaza el componente "C:\Program Files (x86)\ eScan\ CONSCTLX.exe» por el archivo malicioso.
«CONSCTLX.exe» funciona iniciando el malware basado en PowerShell, además de cambiar la hora de la última actualización del producto eScan a la hora actual escribiendo la fecha actual en el archivo "C:\Program Files (x86)\ eScan\ Eupdate.ini» para dar la impresión de que la herramienta funciona según lo esperado.
El malware PowerShell, por su parte, realiza los mismos procedimientos de validación que antes y envía una solicitud HTTP a la infraestructura controlada por el atacante para recibir más cargas útiles de PowerShell del servidor para su posterior ejecución.
El boletín de eScan no indica qué servidor de actualizaciones regional se vio afectado, pero el análisis de los datos de telemetría realizado por Kaspersky ha revelado que «cientos de máquinas pertenecientes a personas y organizaciones» han sufrido intentos de infección con cargas útiles relacionadas con el ataque a la cadena de suministro. Estas máquinas se encuentran principalmente en India, Bangladesh, Sri Lanka y Filipinas.
El equipo de seguridad también señaló que los atacantes tenían que haber estudiado en detalle los aspectos internos de eScan para entender cómo funcionaba su mecanismo de actualización y cómo podía manipularse para distribuir actualizaciones maliciosas. Actualmente no se sabe cómo los atacantes lograron proteger el acceso al servidor de actualizaciones.
«Cabe destacar que es bastante único ver cómo el malware se despliega a través de una actualización de la solución de seguridad», afirma. «Los ataques a la cadena de suministro son poco frecuentes en general, y mucho menos los que se orquestan a través de productos antivirus».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS