MicroWorld Technologies, pembuat produk antivirus eScan, telah mengonfirmasi bahwa salah satu server pembaruannya telah dibobol dan digunakan untuk mendistribusikan pembaruan tidak sah yang kemudian dianalisis sebagai pembaruan berbahaya kepada sebagian kecil pelanggan awal bulan ini.
File dikirimkan ke pelanggan yang mengunduh pembaruan dari kluster pembaruan regional dalam jangka waktu dua jam pada tanggal 20 Januari 2026.
eScan mengatakan infrastruktur yang terkena dampak telah diisolasi dan dibangun kembali, kredensial otentikasi telah dirotasi, dan remediasi telah tersedia untuk pelanggan yang terkena dampak.
Perusahaan keamanan Morphisec secara terpisah menerbitkan laporan teknis yang menganalisis aktivitas jahat yang diamati pada titik akhir pelanggan, yang dikaitkan dengan pembaruan yang dikirimkan dari infrastruktur pembaruan eScan selama jangka waktu yang sama.
Morphisec menyatakan bahwa mereka mendeteksi aktivitas berbahaya pada 20 Januari 2026, dan kemudian menghubungi eScan. MicroWorld Technologies mengatakan kepada BleepingComputer bahwa mereka membantah klaim Morphisec bahwa merekalah yang pertama kali menemukan atau melaporkan insiden tersebut.
Menurut eScan, perusahaan mendeteksi masalah ini secara internal pada tanggal 20 Januari melalui pemantauan dan laporan pelanggan, mengisolasi infrastruktur yang terkena dampak dalam beberapa jam, dan mengeluarkan peringatan keamanan pada tanggal 21 Januari. eScan mengatakan Morphisec kemudian menghubungi perusahaan tersebut, setelah mempublikasikan klaim publik tentang insiden tersebut.
eScan juga membantah klaim bahwa pelanggan yang terkena dampak tidak mengetahui masalah ini, dengan menyatakan bahwa pihaknya melakukan pemberitahuan proaktif dan penjangkauan langsung ke pelanggan yang terkena dampak saat remediasi sedang diselesaikan.
Pembaruan infrastruktur dilanggar
Dalam nasihatnya, eScan mengklasifikasikan insiden tersebut sebagai insiden akses infrastruktur pembaruan, yang menyatakan bahwa akses tidak sah ke konfigurasi server pembaruan regional memungkinkan file yang tidak sah ditempatkan di jalur distribusi pembaruan.
“Akses tidak sah ke salah satu konfigurasi server pembaruan regional kami mengakibatkan file yang salah (biner konfigurasi patch/pembaruan rusak) ditempatkan di jalur distribusi pembaruan,” demikian bunyi nasihat yang dibagikan kepada BleepingComputer oleh MicroWorld Technologies.
“File ini didistribusikan ke pelanggan yang mengunduh pembaruan dari cluster server yang terpengaruh selama jangka waktu terbatas pada 20 Januari 2026.”
Perusahaan menekankan bahwa insiden tersebut tidak melibatkan kerentanan pada produk eScan itu sendiri.
eScan menekankan bahwa hanya mereka yang perangkat lunaknya diperbarui dari klaster regional tertentu yang terkena dampaknya, sementara semua pelanggan lainnya tetap tidak terpengaruh.
Namun, eScan mengatakan bahwa mereka yang menginstal pembaruan berbahaya mungkin telah melihat perilaku ini di sistem mereka:
- Perbarui pemberitahuan kegagalan layanan
- File host sistem yang dimodifikasi mencegah koneksi ke server pembaruan eScan
- eScan memperbarui modifikasi file konfigurasi
- Ketidakmampuan untuk menerima pembaruan definisi keamanan baru
- Perbarui popup ketidaktersediaan di mesin klien
BleepingComputer menghubungi eScan dengan pertanyaan lebih lanjut tentang kapan sistemnya pertama kali dilanggar dan akan memperbarui ceritanya jika kami menerima balasan.
Pembaruan diterapkan untuk mendorong malware
milik Morphisec buletin keamanan mengatakan bahwa pembaruan berbahaya menekan versi modifikasi dari komponen pembaruan eScan, “Reload.exe”.
“Pembaruan berbahaya didistribusikan melalui infrastruktur pembaruan sah eScan, yang mengakibatkan penyebaran malware multi-tahap ke titik akhir perusahaan dan konsumen secara global,” demikian bunyi buletin Morphisec.
Meskipun Reload.exe yang dimodifikasi ditandatangani dengan sertifikat penandatanganan kode eScan, baik Windows maupun VirusTotal menunjukkan tanda tangan tersebut sebagai tidak valid.
Menurut Morphisec, file Reload.exe[[Total Virus]digunakan untuk mengaktifkan persistensi, menjalankan perintah, memodifikasi file Windows HOSTS untuk mencegah pembaruan jarak jauh, dan menyambung ke infrastruktur C2 untuk mengunduh muatan lebih lanjut.
Para peneliti mengatakan server perintah dan kontrol berikut diamati:
hxxps[://]vhs[.]delrosal[.]net/i hxxps[://]tumama[.]hns[.]to hxxps[://]blackice[.]sol-domain[.]org hxxps[://]codegiant[.]io/dd/dd/dd[.]git/download/main/middleware[.]ts 504e1a42.host.njalla[.]net 185.241.208[.]115
Muatan terakhir yang terlihat dikerahkan adalah file bernama CONSCTLX.exe[[Total Virus], yang mana Morphisec bertindak sebagai pintu belakang dan pengunduh yang gigih. Morphisec mengatakan bahwa file berbahaya membuat tugas terjadwal untuk persistensi menggunakan nama seperti “CorelDefrag”.
eScan telah membuat pembaruan remediasi yang dapat dijalankan pelanggan untuk melakukan tindakan berikut:
- Secara otomatis mengidentifikasi dan memperbaiki modifikasi yang salah
- Mengaktifkan kembali fungsionalitas pembaruan eScan yang tepat
- Memverifikasi restorasi yang berhasil
- Memerlukan restart sistem standar
Baik eScan dan Morphisec menyarankan pelanggan memblokir server perintah dan kontrol di atas untuk keamanan tambahan.
Pada tahun 2024, peretas Korea Utara diamati memanfaatkan mekanisme pembaruan antivirus eScan untuk memasang pintu belakang di jaringan perusahaan.
7 Praktik Terbaik Keamanan untuk MCP
Karena MCP (Model Context Protocol) menjadi standar untuk menghubungkan LLM ke alat dan data, tim keamanan bergerak cepat untuk menjaga keamanan layanan baru ini.
Lembar contekan gratis ini menguraikan 7 praktik terbaik yang dapat Anda mulai gunakan hari ini.
