L'infrastructure de mise à jour antivirus eScan, développée par la société indienne MicroWorld Technologies, a été compromise et utilisée pour distribuer un chargeur malveillant à l'entreprise et à l'équipement domestique. Bref, les attaquants ont pu insérer une mise à jour nuisible dans un canal que des millions d'utilisateurs font confiance pour recevoir des patchs, faisant de l'incident un exemple particulièrement dangereux d'une attaque de la chaîne d'approvisionnement.
L'intrusion a été détectée le 20 janvier 2026. et, selon l'entreprise elle-même, elle a touché un sous-ensemble de clients qui ont reçu des mises à jour automatiques d'un cluster régional sur une période de seulement deux heures. MicroWorld a isolé les serveurs compromis, qui sont restés hors service pendant plus de huit heures, et a publié une correction pour annuler les changements causés par la mise à jour malveillante. Votre version officielle est disponible dans le bulletin technique publié le 22 janvier. Avis de sécurité eScan (PDF).
Le premier signal a été diffusé par l'équipe de recherche Morphec, qui a décrit comment une mise à jour légitime a été utilisée pour distribuer un exécutable malveillant appelé regoad. Exe qui agit comme un lanceur. L'analyse est disponible à l'adresse suivante: Morphyec: Bulletin critique de la menace eScan. Des chercheurs indépendants, dont Kaspersky, ont approfondi les techniques utilisées et la mécanique de l'attaque : leur rapport technique explique comment le binaire modifié remplace les composants légitimes et empêche le produit de recevoir des mises à jour ultérieures, entre autres actions publié par Kaspersky.
Du point de vue technique, la rédemption légitime. exe file (habituellement situé dans C:\ Program Files (x86)\ eScan\ regoad.exe) a été remplacé par une version malveillante. Ce fichier frauduleux est signé avec une fausse signature numérique et contient un code capable d'exécuter PowerShell intégré dans les processus natifs en modifiant le projet UnmanagedPowerShell. Les attaquants ont ajouté une capacité pour contourner l'interface de numérisation anti-malware Windows (AMSI), ce qui rend difficile de détecter les défenses natives du système. Pour ceux qui veulent examiner la documentation AMSI, Microsoft la garde ici: Interface de balayage antimalware (AMSI).
Le comportement malveillant a été déployé en plusieurs étapes. La mauvaise réputation. exe exécute trois charges codées sur Base64 qui, entre autres, manipulent la propre installation d'eScan pour empêcher de nouvelles mises à jour et exécuter des vérifications locales. Ces vérifications servent à déterminer si une équipe est un objectif viable : analyser les programmes installés, exécuter des processus et des services, tout comparer avec une liste difficile qui inclut des outils d'analyse et des solutions de sécurité - s'ils détectent certains produits, les attaquants avortent l'infection pour éviter les environnements de recherche.
Si l'équipement dépasse ces tests, le chargeur contacte des serveurs contrôlés par l'assaillant et télécharge deux composants : un binaire appelé CONSCTLX.exe et une seconde charge PowerShell configurée pour être exécutée régulièrement, par exemple par des tâches programmées, assurant la persistance. Le composant CONCTLX.exe modifie également les marques de mise à jour internes (écrit la date actuelle dans C:\ Program Files (x86)\ eScan\ Eupdate.ini) pour donner l'apparence que l'antivirus continue de fonctionner et recevoir des mises à jour normalement.
En plus de prévenir les mises à jour, le code malveillant peut modifier le fichier HOSTS pour bloquer les communications avec des serveurs légitimes, ce qui complique la restauration automatique du produit. Vous pouvez vérifier les hashes et les échantillons publics que les chercheurs ont téléchargés sur VirusTotal, comme l'entrée de regoad. l'entrée de CONSCTLX. exe: Reload.exe dans VirusTotal et CONCTLX.exe dans VirusTotal.
En ce qui concerne la portée, Kaspersky indique que sa télémétrie a détecté des tentatives d'infecter des centaines d'équipes, personnelles et commerciales, principalement concentrées en Inde, au Bangladesh, au Sri Lanka et aux Philippines. Cette répartition géographique suggère que la campagne a été dirigée ou, du moins, s'est étendue plus intensivement dans la région où l'outil est le plus présent.
MicroWorld ne détaille pas publiquement lequel de ses serveurs régionaux a été compromis ou le mécanisme d'accès initial exact, mais l'analyse d'experts suggère que les attaquants ont dû étudier en profondeur l'architecture de mise à jour eScan pour la manipuler avec succès. Il n'est pas trivial de comprendre et d'exploiter un processus de mise à jour d'un produit antivirus, ce qui souligne la sophistication nécessaire pour exécuter ce type d'attaque sur la chaîne d'approvisionnement.
La gravité de l'incident réside dans la confiance inhérente aux mises à jour de sécurité. Lorsque le canal de distribution d'un antivirus est corrompu, le potentiel de dommages est multiplié : le logiciel que vous devez protéger finit par devenir un vecteur d'attaque. C'est pourquoi les experts décrivent ces cas comme particulièrement inquiétants et inhabituels dans le paysage habituel de la cybermenace.
Pour les organisations et les administrateurs, la recommandation immédiate est de contacter MicroWorld pour obtenir une correction officielle et suivre les lignes directrices de remise en état que le fabricant a publiées. Dans le même temps, il est conseillé de vérifier les signaux d'engagement liés aux comportements décrits ci-dessus : présence d'exécutables modifiés dans le dossier eScan, changements dans l'Eupdate. fichier ini, entrées inattendues dans le fichier HOSTS, tâches programmées suspectes et processus qui exécutent PowerShell avec des charges codées. Effectuer une analyse médico-légale, isoler les machines touchées et, le cas échéant, restaurer à partir de copies propres sont des actions prudentes pendant que le nettoyage complet est confirmé.
Le cas de eScan met en avant une leçon critique : la sécurité ne peut dépendre d'un seul élément de confiance. Les organisations devraient combiner les contrôles d'intégrité, la surveillance du comportement, la segmentation du réseau et la vérification de la signature numérique afin d'atténuer le risque que des composants légitimes soient utilisés contre elles. L'industrie dans son ensemble doit également améliorer la transparence et les mécanismes de vérification des chaînes d'approvisionnement en logiciels.
Pour approfondir les conclusions techniques et les recommandations officielles, l'analyse Kaspersky se trouve dans Liste sécurisée, l'avis de Morphisec votre blog et la déclaration de MicroWorld Lettre officielle. Rester informé et agir rapidement reste la meilleure défense contre ces menaces.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...