A infraestrutura de atualizações do antivírus eScan, desenvolvido pela empresa indiana MicroWorld Technologies, foi comprometida e utilizada para distribuir um carregador malicioso a equipamentos tanto corporativos como domésticos. Em poucas palavras: os atacantes conseguiram inserir uma atualização daninha em um canal que milhões de usuários confiam para receber adesivos, tornando o incidente um exemplo especialmente perigoso de ataque à cadeia de abastecimento.
A intrusão foi detectada em 20 de janeiro de 2026 e, segundo a própria empresa, afetou um subconjunto de clientes que receberam atualizações automáticas de um cluster regional durante um intervalo de apenas duas horas. A MicroWorld isolou os servidores comprometidos, que permaneceram fora de serviço mais de oito horas, e publicou uma correção para desfazer as mudanças causadas pela atualização maliciosa. Seu comunicado formal está disponível no boletim técnico que publicaram em 22 de janeiro: eScan Security Advisory (PDF).
O primeiro sinal a difundiu a equipe de pesquisa de Morphisec, que descreveu como uma atualização legítima foi aproveitada para distribuir um executável malicioso denominado reload.exe que atua como lançador. A sua análise pode ser consultada em: Morphisec: Critical eScan threat bulletin. Pesquisadores independentes, incluindo Kaspersky, aprofundaram as técnicas empregadas e na mecânica do ataque: seu relatório técnico explica como o binário alterado substitui componentes legítimos e evita que o produto receba atualizações posteriores, entre outras ações publicado pela Kaspersky.
Em termos técnicos, o ficheiro legítimo reload.exe (localizado habitualmente em C:\Program Files (x86)\eScan\reload.exe) foi substituído por uma versão maliciosa. Este arquivo fraudulento está assinado com uma assinatura digital falsa e contém código capaz de executar PowerShell embebido dentro de processos nativos mediante uma modificação do projeto UnmanagedPowerShell. Os atacantes adicionaram uma capacidade para contornar a interface de digitalização antimalware do Windows (AMSI), o que dificulta a detecção por parte das defesas nativas do sistema. Para aqueles que desejam rever a documentação do AMSI, a Microsoft mantém-a aqui: Antimalware Scan Interface (AMSI).
O comportamento malicioso foi implantado em várias etapas. O reload.exe malicioso executa três cargas codificadas em Base64 que, entre outras coisas, manipulam a própria instalação de eScan para impedir atualizações e executar verificações locais. Estas verificações servem para decidir se uma equipe é um objetivo viável: analisam programas instalados, processos em execução e serviços, comparando tudo contra uma lista dura que inclui ferramentas de análise e soluções de segurança — se detectam certos produtos, os atacantes abortam a infecção para evitar ambientes de pesquisa.
Se a equipe superar esses testes, o loader conta com servidores controlados pelos atacantes e baixar dois componentes: um binário chamado CONSCTLX.exe e uma segunda carga em PowerShell que se configura para executar periodicamente, por exemplo através de tarefas agendadas, garantindo persistência. O componente CONSCTLX.exe também modifica marcas de atualização internas (escreve a data atual em C:\Program Files (x86)\eScan\Eupdate.ini) para dar a aparência de que o antivírus continua funcionando e recebendo atualizações com normalidade.
Além de impedir atualizações, o código malicioso pode alterar o arquivo HOSTS para bloquear comunicações com servidores legítimos, complicando a restauração automática do produto. Você pode rever os hashes e amostras públicas que os pesquisadores subiram para o VírusTotal, como a entrada de reload.exe e a de CONSCTLX.exe: Reload.exe no VírusTotal e CONSCTLX.exe no VírusTotal.
Quanto ao alcance, a Kaspersky indica que sua telemetria detectou tentativas de infecção em centenas de equipes, tanto pessoais como empresariais, concentrados principalmente na Índia, Bangladesh, Sri Lanka e Filipinas. Essa distribuição geográfica sugere que a campanha se dirigiu ou pelo menos se propagou com maior intensidade na região onde a ferramenta tem mais presença.
O MicroWorld não detalha publicamente qual dos seus servidores regionais foi comprometido ou o mecanismo exato de acesso inicial, mas a análise dos especialistas sugere que os atacantes tiveram que estudar a fundo a arquitetura de atualização do eScan para manipulá-la com sucesso. Não é trivial entender e explorar um processo de atualização de um produto antivírus, o que sublinha a sofisticação necessária para executar esta classe de ataque à cadeia de abastecimento.
A gravidade do incidente reside na confiança inerente às atualizações de segurança. Quando o canal de distribuição de um antivírus se corrompe, o potencial de dano se multiplica: o software que deveria proteger termina por se tornar vetor de ataque. Por isso, especialistas descrevem estes casos como especialmente preocupantes e pouco habituais no panorama habitual de ameaças cibernéticas.
Para organizações e administradores, a recomendação imediata é entrar em contato com a MicroWorld para obter a correção oficial e seguir as diretrizes de remediação que o fabricante publicou. A par, é aconselhável verificar sinais de compromisso relacionados aos comportamentos descritos: presença de executáveis modificados na pasta de eScan, alterações no arquivo Eupdate.ini, entradas inesperadas no arquivo HOSTS, tarefas programadas suspeitas e processos que executem o PowerShell com cargas codificadas. Realizar uma análise forense, isolar máquinas afetadas e, se necessário, restaurar de cópias limpas são ações prudentes enquanto se confirma a limpeza completa.
O caso de eScan volta a colocar em primeiro plano uma lição crítica: a segurança não pode depender de um único elemento de confiança. As organizações devem combinar controles de integridade de atualizações, monitoramento de comportamento, segmentação de rede e verificação de assinaturas digitais para mitigar o risco de componentes legítimos serem utilizados em sua contra. A indústria no seu conjunto também precisa de melhorar a transparência e os mecanismos de verificação para as cadeias de fornecimento do software.
Para aprofundar os achados técnicos e as recomendações oficiais, consultar a análise da Kaspersky em Securelist, o aviso de Morphisec em seu blog e o comunicado da MicroWorld em seu boletim oficial. Manter-se informado e agir rapidamente continua a ser a melhor defesa contra este tipo de ameaças.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...