A infraestrutura legítima de atualização do antivírus distribuiu um Reload.exe adulterado, capaz de bloquear novas atualizações, validar vítimas e buscar cargas adicionais em servidor externo.
| Componente | Infraestrutura regional de atualização do eScan Antivirus, produto da MicroWorld Technologies, incluindo os componentes Reload.exe, CONSCTLX.exe e Eupdate.ini em instalações Windows. |
| Vetor | Acesso não autorizado a uma configuração regional de servidor de atualização permitiu distribuir uma atualização corrompida a clientes que baixaram atualizações automaticamente durante uma janela limitada de cerca de duas horas em 20 de janeiro de 2026. |
| Impacto | Substituição de binário legítimo por contraparte maliciosa, bloqueio de atualizações remotas, persistência por tarefa agendada e solicitação HTTP a infraestrutura externa para receber cargas PowerShell adicionais. |
| Prioridade | Isolar endpoints que receberam atualização no intervalo afetado, obter a correção disponibilizada pela MicroWorld Technologies, validar integridade dos arquivos do eScan e revisar telemetria de PowerShell, tarefas agendadas, arquivo HOSTS e tráfego HTTP anômalo. |
| Artefatos | C:\Program Files (x86)\escan\reload.exe, C:\Program Files (x86)\eScan\CONSCTLX.exe, C:\Program Files (x86)\eScan\Eupdate.ini, arquivo HOSTS alterado, assinatura digital falsa e inválida no binário adulterado. |
| Abrangência | Tentativas de infecção foram observadas em centenas de máquinas de indivíduos e organizações, principalmente na Índia, Bangladesh, Sri Lanka e Filipinas. |
A campanha comprometeu parte da infraestrutura de atualização do eScan Antivirus e usou o canal legítimo do produto para entregar malware em endpoints corporativos e de consumidores. O ponto crítico não foi um anexo de phishing, um instalador falso ou uma página de download externa, mas o próprio mecanismo de atualização usado por sistemas que já confiavam no fornecedor de segurança. A MicroWorld Technologies informou ter identificado acesso não autorizado à infraestrutura regional de atualização, isolado os servidores impactados e mantido os sistemas afetados fora do ar por mais de oito horas. A empresa também disponibilizou uma correção para reverter alterações introduzidas pela atualização maliciosa e orientou organizações impactadas a contatá-la para obter a remediação.
O incidente ocorreu em 20 de janeiro de 2026 e afetou um subconjunto de clientes cujos sistemas baixavam atualizações automaticamente a partir de um cluster específico durante uma janela de cerca de duas horas. A atualização adulterada entregou uma versão maliciosa de Reload.exe, associada à implantação de um downloader persistente. Esse binário interferia no funcionamento normal do antivírus, tentava impedir novas atualizações remotas, avaliava se a máquina deveria receber estágios adicionais e contatava infraestrutura externa controlada pelo operador para obter novas cargas, incluindo CONSCTLX.exe e malware baseado em PowerShell. O caso tem impacto operacional relevante porque explora a confiança de endpoints no fluxo de atualização de uma solução defensiva instalada.
A cadeia começa com a substituição do arquivo legítimo C:\Program Files (x86)\escan\reload.exe por uma contraparte maliciosa. O binário adulterado verifica se está sendo executado a partir da pasta Program Files e encerra a execução caso essa condição não seja atendida, um comportamento que reduz ruído fora do ambiente esperado e dificulta análises triviais fora do caminho de instalação. O arquivo aparece com uma assinatura digital falsa e inválida, o que deve ser tratado como sinal de adulteração. Uma vez iniciado no contexto esperado, o executável usa uma base derivada do UnmanagedPowerShell, mecanismo que permite executar código PowerShell dentro de outro processo, com modificação adicional para contornar AMSI antes da execução de script malicioso.
O papel inicial de Reload.exe é disparar três cargas PowerShell codificadas em Base64. O conteúdo operacional exato dos scripts não deve ser tratado como material executável por equipes defensivas, mas os efeitos são claros: adulterar a instalação do eScan para reduzir a capacidade de atualização e detecção, validar o ambiente da vítima e buscar cargas posteriores. A etapa de validação compara softwares instalados, processos em execução e serviços com uma lista interna que inclui ferramentas de análise e produtos de segurança, inclusive soluções de terceiros. Quando esses elementos são detectados, a cadeia deixa de entregar novos estágios, indicando uma lógica de evasão e seleção de vítimas.
Após a validação, o PowerShell entra em contato com um servidor externo e recebe dois componentes: CONSCTLX.exe e outro malware PowerShell executado por meio de tarefa agendada. O primeiro script também substitui o componente legítimo C:\Program Files (x86)\eScan\CONSCTLX.exe pela versão maliciosa. Esse novo executável aciona o malware PowerShell e altera o horário da última atualização do produto ao gravar a data corrente em C:\Program Files (x86)\eScan\Eupdate.ini, criando a aparência de que o eScan continua atualizado. Essa manipulação é importante para defesa porque mascara a degradação do mecanismo de atualização, reduzindo a chance de o usuário ou administrador perceber imediatamente que o endpoint deixou de receber proteção válida.
O estágio PowerShell posterior repete validações semelhantes e envia requisições HTTP à infraestrutura do atacante para receber novas cargas PowerShell para execução subsequente. O impacto confirmado fica concentrado em adulteração de produto de segurança, persistência, bloqueio de atualização, execução de código PowerShell e obtenção de payloads adicionais. O material disponível não confirma vazamento de dados, movimentação lateral, criptografia de arquivos, roubo de credenciais ou exploração de uma vulnerabilidade específica do endpoint. Também não há identificação pública do método usado para obter acesso ao servidor regional de atualização, o que limita conclusões sobre credenciais comprometidas, falha de configuração ou exploração de sistema interno.
A exposição atinge instalações Windows do eScan Antivirus que receberam atualização automática do cluster regional afetado durante a janela restrita de 20 de janeiro de 2026. A empresa descreveu o evento como uma interrupção temporária do serviço de atualização associada a um subconjunto de clientes, não como comprometimento global de todos os servidores. Ainda assim, a natureza do vetor exige atenção especial: o endpoint afetado pode ter aceitado o artefato por um canal normalmente permitido em firewalls, proxies e políticas de controle de aplicação, porque a origem era parte da infraestrutura legítima de atualização do produto.
Os componentes diretamente mencionados na cadeia são Reload.exe, CONSCTLX.exe, Eupdate.ini, o arquivo HOSTS e tarefas agendadas. A alteração do HOSTS pode bloquear a comunicação do produto com servidores legítimos de atualização, enquanto a gravação de data em Eupdate.ini tenta preservar uma aparência de normalidade. Ambientes com eScan em estáções de trabalho, servidores de usuário final ou máquinas de consumidores que baixaram updates no período afetado devem ser tratados como candidatos a verificação de integridade. Telemetria observada indica centenas de máquinas com tentativas de infecção relacionadas a essa cadeia, concentradas principalmente na Índia, Bangladesh, Sri Lanka e Filipinas.
A superfície de risco não se limita ao binário substituído. Como o fluxo usa PowerShell dentro de processo, tarefa agendada e comunicação HTTP, controles que dependem apenas da presença do antivírus instalado podem falhar se o próprio produto tiver sido adulterado. A cadeia também tenta evitar ambientes com ferramentas de análise e outros produtos de segurança, o que significa que a ausência de payload adicional em uma máquina de laboratório não elimina a exposição de estáções comuns que não apresentem esses sinais para a lógica de validação do malware.
- Clientes do eScan que receberam atualizações automáticas do cluster regional afetado em 20 de janeiro de 2026.
- Instalações com
Reload.exesubstituído por arquivo de assinatura falsa ou inválida. - Sistemas com alteração no HOSTS destinada a impedir atualizações remotas do produto.
- Endpoints com
CONSCTLX.exeadulterado eEupdate.inigravado para simular atualização recente.
A investigação deve começar pela linha do tempo de atualização do eScan no dia 20 de janeiro de 2026. Endpoints que baixaram atualizações no intervalo afetado devem ter prioridade de coleta, especialmente quando houver divergência entre o horário reportado de atualização e evidências de tráfego, escrita de arquivos e execução de processos. A comparação de hash interno e assinatura de Reload.exe e CONSCTLX.exe contra uma base confiável fornecida pelo fabricante é essencial, mas a defesa não deve depender apenas de hash quando a cadeia inclui substituição de binário e persistência PowerShell. A assinatura falsa e inválida em Reload.exe é um sinal de alto valor para validação de integridade.
Em endpoints Windows, procure execução de PowerShell associada a processos do diretório do eScan, criação ou alteração de tarefas agendadas próximas ao horário da atualização, mudanças no arquivo HOSTS e requisições HTTP incomuns originadas de processos ligados ao produto. Como a cadeia usa Base64 para carregar scripts e executa código PowerShell dentro de outro processo, alertas de comando PowerShell explícito podem não cobrir todos os casos. A análise deve correlacionar eventos de criação de processo, carregamento de script, escrita em arquivos do produto e conexões de saída para destinos externos não esperados pelo inventário de atualização.
A adulteração de Eupdate.ini também merece atenção. A gravação da data atual nesse arquivo pode ser usada para criar uma falsa sensação de atualização bem-sucedida, então o valor de data deve ser comparado com logs reais de update, proxy, EDR e eventos de arquivo. Se o produto indicar atualização recente, mas não houver tráfego legítimo correspondente ou houver bloqueios no HOSTS, a máquina deve ser tratada como suspeita. Em redes com proxy autenticado, registre também a identidade da máquina e do usuário associados ao tráfego HTTP de processos do eScan, preservando metadados de destino de forma defangada em relatórios internos.
- Assinatura digital falsa ou inválida em
C:\Program Files (x86)\escan\reload.exe. - Alterações no arquivo HOSTS que bloqueiem domínios legítimos de atualização do eScan.
- Criação de tarefa agendada associada a execução PowerShell após a atualização de 20 de janeiro de 2026.
- Substituição ou execução anômala de
C:\Program Files (x86)\eScan\CONSCTLX.exe. - Requisições HTTP externas originadas de processos do eScan ou de PowerShell carregado por esses processos.
- Gravação recente em
C:\Program Files (x86)\eScan\Eupdate.inisem evidência compatível de atualização legítima.
A resposta deve priorizar contenção e integridade do produto. Máquinas que receberam atualização durante a janela afetada devem ser isoladas da rede corporativa até que os binários do eScan sejam validados, a correção do fabricante seja aplicada e a comunicação de atualização legítima seja restaurada. A MicroWorld Technologies informou ter disponibilizado remediação abrangente para os cenários observados, incluindo reversão das alterações introduzidas pela atualização maliciosa. Organizações impactadas devem obter a correção diretamente pelo canal oficial do fornecedor e evitar reaproveitar pacotes de atualização coletados de máquinas potencialmente comprometidas.
Depois da correção, a validação precisa cobrir mais do que reinstalação do antivírus. Revise o HOSTS, remova entradas que bloqueiem atualização legítima, verifique tarefas agendadas criadas no período, compare Reload.exe e CONSCTLX.exe com versões confiáveis, confirme a assinatura digital válida dos componentes e reconcilie o horário de Eupdate.ini com logs reais. Se houver evidência de carga PowerShell adicional ou comunicação com infraestrutura externa, trate a máquina como comprometida por malware de múltiplos estágios e amplie a coleta para memória, histórico de processos, artefatos de persistência e conexões recentes.
No plano preventivo, a cadeia reforça a necessidade de monitorar atualizações de produtos de segurança como eventos privilegiados, não como ruído confiável por definição. Controles de EDR, proxy e SIEM devem manter visibilidade sobre processos de antivírus que criam tarefas agendadas, modificam HOSTS, executam PowerShell embutido ou escrevem em arquivos de estado usados para indicar atualização. Em ambientes críticos, considere uma política de verificação de assinatura e origem para pacotes de atualização, além de detecção de comportamento quando um processo de segurança tenta bloquear seus próprios canais de update. A confiança no fornecedor continua necessária, mas deve ser acompanhada por controles independentes capazes de detectar adulteração do caminho de distribuição.
- Identificar endpoints que atualizaram pelo cluster afetado em 20 de janeiro de 2026 e colocá-los em contenção até validação.
- Aplicar a correção fornecida pela MicroWorld Technologies por canal oficial e confirmar que o produto voltou a atualizar normalmente.
- Validar assinatura, integridade e caminho de
Reload.exeeCONSCTLX.execontra uma referência confiável. - Revisar e corrigir o arquivo HOSTS, tarefas agendadas e alterações em
Eupdate.ini. - Correlacionar execução de PowerShell, escrita de arquivos do eScan e tráfego HTTP externo no período do incidente.
- Quando houver sinais de estágios adicionais, preservar evidências e executar resposta completa a malware, incluindo contenção, erradicação e monitoramento pós-remediação.
0 Comentários