كشفت شركة Morphisec للأمن السيبراني عن حادثة خطيرة تمثلت في اختراق البنية التحتية الخاصة بتحديثات برنامج eScan Antivirus، وهو منتج أمني تطوره شركة MicroWorld Technologies الهندية. المهاجمون استغلوا خوادم التحديث الشرعية لتوزيع برمجيات خبيثة متعددة المراحل على أنظمة المؤسسات والمستخدمين حول العالم، ما جعل الهجوم أكثر خطورة لارتباطه مباشرة بأداة يفترض أنها للحماية.
بحسب الباحث Michael Gorelik، فقد تم نشر تحديثات خبيثة عبر البنية التحتية الرسمية، مما أدى إلى تثبيت محمّل خبيث مصمم للبقاء على الأجهزة المستهدفة، ومنع التحديثات المستقبلية، والتواصل مع خوادم خارجية لجلب مكونات إضافية.
تفاصيل تقنية للهجوم
أوضحت الشركة أن الاختراق نتج عن وصول غير مصرح به إلى إعدادات أحد الخوادم الإقليمية للتحديث، ما سمح للمهاجمين بتوزيع تحديث “فاسد” خلال فترة زمنية قصيرة لا تتجاوز ساعتين في 20 يناير 2026.
الملف الأساسي المستخدم في الهجوم كان نسخة مزيفة من Reload.exe، وهو ملف شرعي موجود في مسار تثبيت البرنامج. النسخة الخبيثة استبدلت الملف الأصلي، ووقّعت بتوقيع رقمي مزيف، لتقوم بتنفيذ تعليمات PowerShell خبيثة تتضمن تجاوز آلية AMSI الخاصة بفحص البرمجيات الضارة في ويندوز.
مراحل التنفيذ
الملف الخبيث أطلق ثلاث شيفرات PowerShell مشفرة بـ Base64، صُممت للقيام بالمهام التالية:
- تعطيل قدرة برنامج eScan على تلقي التحديثات أو كشف المكونات الضارة.
- تجاوز آلية الفحص الأمني AMSI.
- التحقق من بيئة الجهاز المستهدف، وإذا كانت مناسبة، يتم تنزيل حمولة إضافية.
الحمولة الإضافية تضمنت ملفاً خبيثاً باسم CONSCTLX.exe، الذي استبدل المكون الأصلي في البرنامج، وأُنشئ ليطلق برمجيات PowerShell إضافية عبر مهمة مجدولة. كما يقوم بتعديل ملف التحديثات ليُظهر أن البرنامج يعمل بشكل طبيعي، في حين أنه معطل فعلياً.
الأثر الجغرافي والضحايا
تحليل شركة Kaspersky أظهر أن مئات الأجهزة في الهند وبنغلاديش وسريلانكا والفلبين تعرضت لمحاولات إصابة مرتبطة بهذا الهجوم. اللافت أن المهاجمين درسوا آلية عمل تحديثات eScan بشكل معمق، مما مكنهم من التلاعب بها بدقة لتوزيع البرمجيات الخبيثة.
الهجوم يُعد حالة نادرة، إذ من غير المعتاد أن يتم استغلال برامج مكافحة الفيروسات نفسها كقناة لنشر البرمجيات الضارة، وهو ما يرفع مستوى القلق بشأن سلامة سلاسل التوريد الرقمية.
استجابة الشركة
أعلنت MicroWorld Technologies أنها اكتشفت الاختراق بسرعة، وقامت بعزل الخوادم المتأثرة لأكثر من ثماني ساعات، وأصدرت تحديثاً لإصلاح التغييرات التي أدخلها المهاجمون. كما نصحت المؤسسات المتأثرة بالتواصل معها للحصول على الإصلاحات اللازمة.
