eScan杀毒软件更新服务器遭入侵传播多阶段恶意软件

印度网络安全公司MicroWorld Technologies开发的eScan杀毒软件更新基础设施遭到未知攻击者入侵，向企业和消费者系统传播持久化下载器恶意软件。

Morphisec公司研究员Michael Gorelik表示："恶意更新通过eScan的合法更新基础设施进行分发，导致多阶段恶意软件被部署到全球的企业和消费者终端。"

MicroWorld Technologies披露，公司检测到基础设施遭受未经授权的访问后，立即隔离了受影响的更新服务器，服务器离线时间超过8小时。公司已发布补丁程序，可回退恶意更新引入的更改。建议受影响的组织联系MicroWorld Technologies获取修复程序。

公司将此次攻击归因于区域更新服务器配置遭到未经授权的访问，使得威胁行为者能够在2026年1月20日约两小时的"有限时间窗口"内向客户分发"损坏"的更新。

"eScan从2026年1月20日开始经历了一次临时更新服务中断，影响了部分在特定时间段内从特定更新集群自动下载更新的客户系统，"该公司在2026年1月22日发布的公告中表示。

"该问题源于区域更新服务器基础设施遭受未经授权的访问。事件已被识别并解决。我们提供了全面的修复方案，可解决所有观察到的情况。"

Morphisec于2026年1月20日识别出该事件，表示恶意载荷干扰了产品的正常功能，有效阻止了自动修复。具体来说，攻击者投放了一个恶意的"Reload.exe"文件，该文件设计用于释放下载器，具有建立持久化、阻止远程更新以及联系外部服务器获取包括"CONSCTLX.exe"在内的其他载荷的功能。

攻击机制分析

根据卡巴斯基分享的细节，位于"C:\\Program Files (x86)\\escan\\reload.exe"的合法文件"Reload.exe"被替换为恶意版本，该版本可通过修改HOSTS文件来阻止进一步的杀毒软件更新。该文件使用了伪造的无效数字签名。

"当启动时,该reload.exe文件会检查是否从Program Files文件夹启动，如果不是则退出，"这家俄罗斯网络安全公司表示。"该可执行文件基于UnmanagedPowerShell工具，该工具允许在任何进程中执行PowerShell代码。攻击者修改了该项目的源代码，添加了AMSI绕过功能，并使用它在reload.exe进程内执行恶意PowerShell脚本。"

该二进制文件的主要职责是启动三个Base64编码的PowerShell载荷，其设计目的是：

篡改已安装的eScan解决方案以防止其接收更新和检测已安装的恶意组件

绕过Windows反恶意软件扫描接口（AMSI）

检查受害者机器是否应进一步感染，如果是，则向其投放基于PowerShell的载荷

受害者验证步骤会根据硬编码的黑名单检查已安装软件、运行进程和服务的列表，黑名单中包括分析工具和安全解决方案，包括卡巴斯基的产品。如果检测到这些工具，则不会投放进一步的载荷。

载荷执行流程

PowerShell载荷一旦执行，就会联系外部服务器以接收两个载荷："CONSCTLX.exe"和第二个基于PowerShell的恶意软件，后者通过计划任务启动。值得注意的是，前述三个PowerShell脚本中的第一个还会用恶意文件替换"C:\\Program Files (x86)\\eScan\\CONSCTLX.exe"组件。

"CONSCTLX.exe"的工作方式是启动基于PowerShell的恶意软件，同时通过将当前日期写入"C:\\Program Files (x86)\\eScan\\Eupdate.ini"文件来更改eScan产品的最后更新时间为当前时间，以给人留下该工具按预期工作的印象。

PowerShell恶意软件则执行与之前相同的验证程序，并向攻击者控制的基础设施发送HTTP请求，从服务器接收更多PowerShell载荷以供后续执行。

影响范围

eScan公告没有说明哪个区域更新服务器受到影响，但卡巴斯基对遥测数据的分析显示，"数百台属于个人和组织的机器"遭遇了与该供应链攻击相关载荷的感染尝试。这些机器主要位于印度、孟加拉国、斯里兰卡和菲律宾。

该安全公司还指出，攻击者必须详细研究过eScan的内部机制，以了解其更新机制的工作原理以及如何篡改它来分发恶意更新。目前尚不清楚威胁行为者如何设法获得更新服务器的访问权限。

"值得注意的是，通过安全解决方案更新部署恶意软件的情况相当罕见，"该公司表示。"供应链攻击本身就很少见，更不用说通过杀毒软件产品策划的攻击了。"

Q&A

Q1：eScan杀毒软件更新服务器遭入侵事件是如何发生的？

A：攻击者通过未经授权访问eScan的区域更新服务器配置，在2026年1月20日约两小时的时间窗口内，利用合法更新基础设施向客户分发恶意更新。恶意更新会投放名为"Reload.exe"的恶意文件，该文件能够建立持久化、阻止远程更新并下载其他恶意载荷。

Q2：eScan供应链攻击主要影响哪些地区的用户？

A：根据卡巴斯基的遥测数据分析，此次供应链攻击主要影响印度、孟加拉国、斯里兰卡和菲律宾的用户，数百台属于个人和组织的机器遭遇了感染尝试。受影响的是在特定时间段内从特定更新集群自动下载更新的客户系统。

Q3：受eScan恶意更新影响的用户应该如何处理？

A：MicroWorld Technologies已发布补丁程序可回退恶意更新引入的更改，建议受影响的组织立即联系该公司获取修复程序。公司已隔离受影响的更新服务器并发布了全面的修复方案，可解决所有观察到的感染情况。