20 января 2026 года инфраструктура обновлений антивируса eScan от MicroWorld Technologies была скомпрометирована неизвестными злоумышленниками. Это привело к распространению многоступенчатого загрузчика на системы предприятий и потребителей.
Характер атаки
Атака осуществлялась через легитимные серверы обновлений, которые распространяли вредоносный файл reload.exe, заменяющий оригинальный файл в C:\Program Files (x86)\eScan. Этот файл использовал UnmanagedPowerShell-загрузчик с обходом AMSI для запуска трех Base64-кодированных PowerShell-пейлоадов.
Эти пейлоады вмешивались в работу eScan, предотвращали автоматическое восстановление и обновления, создавали постоянное присутствие вредоносного ПО, модифицировали файл HOSTS и связывались с серверами злоумышленников для получения дополнительных пейлоадов, включая CONSCTLX.exe.
Последствия и меры
MicroWorld Technologies выпустила предупреждение 22 января 2026 года и патч, устраняющий вредоносные изменения. Пострадавшим организациям рекомендовано связаться с компанией. По данным Kaspersky, сотни попыток заражения зафиксированы в Индии, Бангладеш, Шри-Ланке и на Филиппинах.
Как злоумышленники получили доступ к конфигурации региональных серверов обновлений, остается неизвестным. Зараженные серверы были изолированы и отключены более чем на восемь часов.
