Die von der indischen Firma MicroWorld Technologies entwickelte und von eScan entwickelte Antiviren-Update-Infrastruktur wurde kompromittiert und verwendet, um ein schädliches Ladegerät sowohl auf Unternehmens- als auch auf Inlandsausrüstung zu verteilen. Kurz gesagt, die Angreifer waren in der Lage, ein schädliches Update in einen Kanal, dass Millionen von Benutzern vertrauen, um Patches zu empfangen, so dass der Vorfall ein besonders gefährliches Beispiel eines Supply Chain-Angriffs.
Die Störung wurde am 20. Januar 2026 festgestellt. und, nach dem Unternehmen selbst, es beeinflusste eine Teilmenge von Kunden, die automatische Updates von einem regionalen Cluster über einen Zeitraum von nur zwei Stunden erhalten. MicroWorld isolierte die kompromittierten Server, die für mehr als acht Stunden außer Dienst blieben, und hat eine Korrektur veröffentlicht, um die durch das bösartige Update verursachten Änderungen zu rückgängig zu machen. Ihre formale Veröffentlichung ist in der technischen Veröffentlichung verfügbar, die sie am 22. Januar veröffentlicht haben: eScan Security Advisory (PDF).
Das erste Signal wurde durch das Morphec-Forschungsteam verbreitet, das beschrieben, wie ein legitimes Update verwendet wurde, um eine schädliche ausführbare namens regoad zu verteilen. exe, die als Starter fungiert. Die Analyse ist verfügbar unter: Morphyec: Critical eScan Bedrohungsbulletin. Unabhängige Forscher, einschließlich Kaspersky, haben die verwendeten Techniken und die Mechanik des Angriffs vertieft: Ihr technischer Bericht erklärt, wie der veränderte Binär legitime Komponenten ersetzt und verhindert, dass das Produkt spätere Updates erhält, unter anderem veröffentlicht von Kaspersky.
In technischer Hinsicht, die legitime Regoad. exe-Datei (meist in C:\ Program Files (x86)\ eScan\ regoad.exe) wurde durch eine bösartige Version ersetzt. Diese betrügerische Datei wird mit einer falschen digitalen Signatur signiert und enthält Code, der in der Lage ist, PowerShell eingebettet in native Prozesse zu betreiben, indem das UnmanagedPowerShell-Projekt modifiziert wird. Die Angreifer fügten eine Kapazität, um die Windows-Anti-Malware-Scan-Schnittstelle (AMSI) zu umgehen, so dass es schwierig ist, die native Verteidigung des Systems zu erkennen. Für diejenigen, die die AMSI-Dokumentation überprüfen möchten, hält Microsoft es hier: Antimalware Scan Interface (AMSI).
Das schädliche Verhalten wurde in mehreren Stadien eingesetzt. Die schädliche Relaad. exe betreibt drei kodierte Gebühren auf Base64, die unter anderem die eigene Installation von eScan manipulieren, um neue Updates zu verhindern und lokale Kontrollen durchzuführen. Diese Kontrollen dienen dazu, zu entscheiden, ob ein Team ein lebensfähiges Ziel ist: Sie analysieren installierte Programme, laufende Prozesse und Dienste, vergleichen alles gegen eine harte Liste, die Analyse-Tools und Sicherheitslösungen umfasst - wenn sie bestimmte Produkte erkennen, brechen Angreifer die Infektion ab, um Forschungsumgebungen zu vermeiden.
Überschreitet das Gerät diese Tests, kontaktiert der Loader mit assailantgesteuerten Servern und lädt zwei Komponenten herunter: eine binäre namens CONSCTLX.exe und eine zweite PowerShell-Last, die regelmäßig ausgeführt werden soll, z.B. durch geplante Aufgaben, um die Beharrlichkeit zu gewährleisten. Die CONCTLX.exe-Komponente modifiziert auch interne Update-Marken (schreibt das aktuelle Datum in C:\ Program Files (x86)\ eScan\ Eupdate.ini), um den Eindruck zu geben, dass das Antivirenprogramm weiterhin funktioniert und normalerweise Updates erhält.
Neben der Verhinderung von Updates kann der schädliche Code die HOSTS-Datei ändern, um die Kommunikation mit legitimen Servern zu blockieren, die automatische Produktwiederherstellung zu kompliziert. Sie können die Hashes und öffentliche Proben überprüfen, die die Forscher auf VirusTotal hochgeladen haben, wie zum Beispiel den Eintrag von regoad. exe und der Eintrag von CONSCTLX. exe: Reload.exe in VirusTotal und CONCTLX.exe in VirusTotal.
Kaspersky weist darauf hin, dass seine Telemetrie versuchte, Hunderte von Teams zu infizieren, sowohl persönlich als auch geschäftlich, hauptsächlich in Indien, Bangladesch, Sri Lanka und den Philippinen konzentriert. Diese geografische Verteilung deutet darauf hin, dass die Kampagne in der Region, in der das Werkzeug am meisten vorhanden ist, gerichtet oder zumindest intensiver verbreitet wurde.
MicroWorld detailliert nicht öffentlich, welche der regionalen Server kompromittiert wurden oder der genaue anfängliche Zugriffsmechanismus, aber die Expertenanalyse deutet darauf hin, dass die Angreifer die eScan-Update-Architektur eingehend studieren mussten, um sie erfolgreich zu manipulieren. Es ist nicht trivial, einen Prozess der Aktualisierung eines Antiviren-Produkts zu verstehen und auszunutzen, der die notwendige Raffinesse unterstreicht, um diese Art von Angriff auf die Lieferkette zu betreiben.
Die Schwere des Vorfalls liegt in dem Vertrauen in Sicherheitsaktualisierungen. Wenn der Verteilungskanal eines Antivirus beschädigt ist, wird das Schadenspotenzial multipliziert: die Software, die Sie schützen sollten, endet zu einem Angriffsvektor. Aus diesem Grund beschreiben Experten diese Fälle als besonders besorgniserregend und ungewöhnlich in der gewohnten Kyberthreatlandschaft.
Für Organisationen und Verwalter ist die sofortige Empfehlung, MicroWorld zu kontaktieren, um eine offizielle Korrektur zu erhalten und den Sanierungsrichtlinien, die der Hersteller veröffentlicht hat, zu folgen. Gleichzeitig empfiehlt es sich, Verpflichtungssignale im Zusammenhang mit den oben beschriebenen Verhaltensweisen zu überprüfen: Anwesenheit von modifizierten Ausführbaren im eScan-Ordner, Änderungen im Eupdate. ini-Datei, unerwartete Einträge in der HOSTS-Datei, verdächtige programmierte Aufgaben und Prozesse, die PowerShell mit codierten Lasten ausführen. Führen Sie eine forensische Analyse durch, isolieren betroffene Maschinen und ggf. Wiederherstellung von sauberen Kopien sind umsichtige Aktionen, während die vollständige Reinigung bestätigt wird.
Der Fall von eScan bringt eine kritische Lektion zurück in den Vordergrund: Sicherheit kann nicht von einem einzigen Element des Vertrauens abhängen. Organisationen sollten Update-Integritätskontrollen, Verhaltensüberwachung, Netzwerksegmentierung und digitale Signaturprüfung kombinieren, um das Risiko legitimer Komponenten, die gegen sie verwendet werden, zu mindern. Die Branche insgesamt muss auch Transparenz und Verifikationsmechanismen für Software-Lieferketten verbessern.
Um technische Erkenntnisse und offizielle Empfehlungen zu vertiefen, finden Sie die Kaspersky-Analyse in Sichere Liste, Morphisec's Mitteilung in Ihr Blog und die MicroWorld-Erklärung Offizieller Newsletter. Die Aktualität und das schnelle Handeln bleibt die beste Verteidigung gegen solche Bedrohungen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...