De update-infrastructuur voor eScan antivirus, een beveiligingsoplossing ontwikkeld door het Indiase cyberbeveiligingsbedrijf MicroWorld Technologies, is door onbekende aanvallers gecompromitteerd om een persistente downloader aan bedrijfs- en consumentensystemen te leveren.
“Schadelijke updates werden verspreid via de legitieme update-infrastructuur van eScan, wat resulteerde in de implementatie van meerfasige malware op bedrijfs- en consumenteneindpunten wereldwijd”, aldus Morphisec-onderzoeker Michael Gorelik.
MicroWorld Technologies heeft onthuld dat het ongeoorloofde toegang tot zijn infrastructuur heeft gedetecteerd en onmiddellijk de getroffen updateservers isoleerde, die meer dan acht uur offline bleven. Het heeft ook een patch uitgebracht die de wijzigingen ongedaan maakt die zijn geïntroduceerd als onderdeel van de kwaadaardige update. Getroffen organisaties wordt aangeraden contact op te nemen met MicroWorld Technologies om de oplossing te verkrijgen.
Het bedrijf stelde ook vast dat de aanval het gevolg was van ongeautoriseerde toegang tot een van zijn regionale updateserverconfiguraties, waardoor de bedreigingsactoren op 20 januari 2026 een “corrupte” update onder klanten konden verspreiden gedurende een “beperkt tijdsbestek” van ongeveer twee uur.
“eScan ondervond een tijdelijke onderbreking van de updateservice vanaf 20 januari 2026, waardoor een subgroep van klanten werd getroffen wier systemen gedurende een specifiek tijdsbestek automatisch updates downloaden van een specifiek updatecluster”, aldus het bedrijf in een advies uitgegeven op 22 januari 2026.
“Het probleem was het gevolg van ongeautoriseerde toegang tot de regionale updateserverinfrastructuur. Het incident is geïdentificeerd en opgelost. Er is een uitgebreide oplossing beschikbaar die alle waargenomen scenario’s aanpakt.”
Morphisec, die het incident op 20 januari 2026 identificeerde, zei dat de kwaadaardige lading de reguliere functionaliteit van het product verstoort, waardoor automatisch herstel effectief wordt voorkomen. Het gaat hierbij specifiek om het leveren van een kwaadaardig “Reload.exe”-bestand dat is ontworpen om een downloader te laten vallen, dat functionaliteit bevat om persistentie tot stand te brengen, updates op afstand te blokkeren en contact op te nemen met een externe server om extra payloads op te halen, waaronder “CONSCTLX.exe.”
Volgens gegevens gedeeld door Kaspersky is “Reload.exe” – een legitiem bestand in “C:Program Files (x86)escanreload.exe” – vervangen door een frauduleuze tegenhanger die verdere updates van antivirusproducten kan voorkomen door het HOSTS-bestand te wijzigen. Het is ondertekend met een valse, ongeldige digitale handtekening.
“Wanneer het wordt gestart, controleert dit bestand reload.exe of het wordt gestart vanuit de map Program Files en wordt het afgesloten als dat niet het geval is”, aldus het Russische cyberbeveiligingsbedrijf. “Dit uitvoerbare bestand is gebaseerd op de UnmanagedPowerShell-tool, waarmee PowerShell-code in elk proces kan worden uitgevoerd. Aanvallers hebben de broncode van dit project gewijzigd door er een AMSI-bypass-mogelijkheid aan toe te voegen, en gebruikten deze om een kwaadaardig PowerShell-script uit te voeren in het reload.exe-proces.”
De primaire verantwoordelijkheid van het binaire bestand is het lanceren van drie Base64-gecodeerde PowerShell-payloads, die zijn ontworpen om:
- Knoei met de geïnstalleerde eScan-oplossing om te voorkomen dat deze updates ontvangt en de geïnstalleerde kwaadaardige componenten detecteert
- Omzeil de Windows Antimalware Scan Interface (AMSI)
- Controleer of de machine van het slachtoffer verder moet worden geïnfecteerd en, zo ja, lever er een op PowerShell gebaseerde payload aan
De slachtoffervalidatiestap onderzoekt de lijst met geïnstalleerde software, actieve processen en services aan de hand van een hardgecodeerde blokkeerlijst die analysetools en beveiligingsoplossingen bevat, waaronder die van Kaspersky. Als ze worden gedetecteerd, worden er geen verdere ladingen afgeleverd.
De PowerShell-payload neemt, zodra deze is uitgevoerd, contact op met een externe server om in ruil daarvoor twee payloads te ontvangen: “CONSCTLX.exe” en een tweede op PowerShell gebaseerde malware die wordt gelanceerd door middel van een geplande taak. Het is vermeldenswaard dat de eerste van de drie bovengenoemde PowerShell-scripts ook de component “C:Program Files (x86)eScanCONSCTLX.exe” vervangt door het schadelijke bestand.
“CONSCTLX.exe” werkt door het starten van de op PowerShell gebaseerde malware, naast het wijzigen van de laatste updatetijd van het eScan-product naar de huidige tijd door de huidige datum naar het bestand “C:Program Files (x86)eScanEupdate.ini” te schrijven om de indruk te wekken dat de tool werkt zoals verwacht.
De PowerShell-malware voert op zijn beurt dezelfde validatieprocedures uit als voorheen en stuurt een HTTP-verzoek naar de door de aanvaller gecontroleerde infrastructuur om meer PowerShell-payloads van de server te ontvangen voor daaropvolgende uitvoering.
Het eScan-bulletin vermeldt niet om welke regionale updateserver het ging, maar Kaspersky’s analyse van telemetriegegevens heeft ‘honderden machines van zowel individuen als organisaties’ aan het licht gebracht die te maken kregen met infectiepogingen met ladingen die verband hielden met de supply chain-aanval. Deze machines staan voornamelijk in India, Bangladesh, Sri Lanka en de Filipijnen.
De beveiligingsorganisatie merkte ook op dat de aanvallers de interne onderdelen van eScan in detail moesten hebben bestudeerd om te begrijpen hoe het updatemechanisme werkte en hoe ermee kon worden geknoeid om kwaadaardige updates te verspreiden. Het is momenteel niet bekend hoe de bedreigingsactoren de toegang tot de updateserver hebben weten te beveiligen.
“Het is met name vrij uniek om te zien dat malware wordt ingezet via een update van een beveiligingsoplossing”, aldus het rapport. “Supply chain-aanvallen komen over het algemeen zelden voor, laat staan aanvallen die via antivirusproducten worden georkestreerd.”
