Agentes ainda não identificados comprometeram o sistema de atualização do antivírus eScan, desenvolvido pela empresa indiana MicroWorld Technologies. Como consequência, os atacantes distribuíram malware multi-estágio para usuários corporativos e domésticos em diversas regiões.
O incidente aconteceu em 20 de janeiro de 2026. Nesse momento, invasores tiveram acesso não autorizado a parte da infraestrutura de atualização do eScan. A partir dessa brecha, eles inseriram um arquivo malicioso no processo legítimo de distribuição. Com isso, clientes que realizaram downloads durante um período aproximado de duas horas acabaram expostos.
- Leia também: Pesquisadores encontram 175.000 servidores Ollama AI expostos publicamente em 130 países
- Leia também: Spotify agora deixa você conversar em grupos; saiba como
- Leia também: Boletim ThreatsDay: Novas Execuções Remotas de Código, Apreensões na Darknet, Bugs no Kernel e Mais de 25 Outras Notícias
Como o Ataque Foi Executado
Durante o ataque, os invasores substituíram o arquivo legítimo do antivírus por um componente trojanizado chamado Reloaded.exe. Além disso, eles assinaram o arquivo com um certificado digital falso, o que dificultou a detecção imediata.
Após a execução inicial, o malware passou a:
- Estabelecer persistência no sistema;
- Bloquear conexões de atualização automática;
- Comunicar-se com servidores externos para baixar cargas adicionais;
- Modificar arquivos críticos, como o HOSTS, além de chaves do Registro do Windows.
Dessa forma, a cadeia de execução criou um vetor de ataque profundo. Como resultado, o próprio antivírus perdeu a capacidade de se atualizar e corrigir o problema automaticamente.
Uso de PowerShell e Comunicação com Infraestrutura Maliciosa
Além disso, o malware baseado em PowerShell repetiu processos de validação já utilizados anteriormente. Em seguida, ele enviou uma solicitação HTTP para a infraestrutura controlada pelos atacantes. A partir dessa comunicação, o servidor entregou novos payloads PowerShell para execução posterior.
O boletim oficial do eScan não especificou qual servidor regional de atualização sofreu o comprometimento. No entanto, a análise de telemetria conduzida pela Kaspersky identificou centenas de máquinas, pertencentes tanto a indivíduos quanto a organizações, que sofreram tentativas de infecção relacionadas ao ataque à cadeia de suprimentos.
Esses sistemas estavam localizados principalmente em:
- Índia
- Bangladesh
- Sri Lanka
- Filipinas
Segundo a empresa de segurança, os atacantes demonstraram conhecimento profundo do funcionamento interno do eScan. Isso indica que o grupo estudou detalhadamente o mecanismo de atualização antes de adulterá-lo. Ainda assim, ninguém sabe como ocorreu o acesso inicial ao servidor.
Componentes e Técnicas Utilizadas
O ataque começou com o loader Reload.exe, que carregava uma série de scripts PowerShell. Esses scripts passaram a:
- Inibir o funcionamento normal do antivírus;
- Ignorar as verificações de segurança do Windows, incluindo o AMSI;
- Avaliar se o dispositivo deveria receber cargas adicionais;
- Redirecionar a execução para um backdoor chamado CONSCTLX.exe.
Esse segundo componente atuou como um backdoor persistente. Para garantir a execução contínua, os atacantes criaram uma tarefa agendada no Windows, que acionava o malware mesmo após reinicializações.
O binário executou três payloads PowerShell codificados em Base64, projetados para:
- Adulterar a instalação do eScan e impedir atualizações e detecção dos componentes maliciosos;
- Ignorar a Interface de Verificação Antimalware do Windows (AMSI);
- Avaliar se a máquina da vítima deveria receber infecções adicionais e, em caso positivo, enviar novos payloads PowerShell.
Durante essa validação, o malware examinou softwares instalados, processos em execução e serviços ativos. Em seguida, ele comparou essas informações com uma lista de bloqueio, que incluía ferramentas de análise e soluções de segurança, inclusive da Kaspersky. Caso detectasse algum desses itens, o malware interrompia a cadeia de infecção.
Após a execução, o payload PowerShell contatou um servidor externo e recebeu dois novos componentes: o arquivo CONSCTLX.exe e outro malware baseado em PowerShell. O sistema executa o segundo componente por meio de uma tarefa agendada.
Resposta da Empresa e Medidas de Contenção
Assim que identificou o acesso não autorizado, a MicroWorld isolou os servidores afetados. Além disso, a empresa manteve o sistema global de atualizações offline por mais de oito horas, com o objetivo de conter o incidente.
Posteriormente, a empresa disponibilizou uma correção oficial, que reverteu as alterações maliciosas nos sistemas comprometidos. Por fim, a MicroWorld orientou usuários e organizações impactadas a entrar em contato direto com o suporte técnico para obter o pacote de remediação.
Pesquisadores e Fornecedores Debatem
Embora a MicroWorld afirme que identificou e isolou o problema no mesmo dia, pesquisadores externos destacaram uma falha grave na cadeia de confiança da infraestrutura de atualização.
Esse tipo de ataque chama atenção porque explora um dos mecanismos mais sensíveis da segurança de software. Assim, o caso reforça que até soluções de proteção podem se tornar vetores de ataque quando cadeias de distribuição sofrem comprometimentos.
Recomendações de Segurança
Diante do incidente, especialistas recomendam que empresas e usuários:
- Verifiquem se as atualizações automáticas foram bloqueadas;
- Inspecionem o arquivo HOSTS em busca de redirecionamentos suspeitos;
- Realizem análises forenses em sistemas possivelmente afetados;
- Reinstale ou revertam alterações causadas por atualizações maliciosas usando ferramentas oficiais.
Fonte: The Hacker News —https://thehackernews.com/2026/02/escan-antivirus-update-servers.html
