Aanvallers hebben een updateserver van eScan gehackt en gebruikt voor het verspreiden van malware onder klanten van het antivirusbedrijf. Op 20 januari werd een malafide update verspreid onder klanten die van de betreffende updateserver gebruikmaken. Securitybedrijf Morphisec stelt dat het de aanval ontdekte en vervolgens MicroWorld, het bedrijf achter eScan, waarschuwde. MicroWorld ontkent dit tegenover Bleeping Computer en claimt dat het de aanval zelf ontdekte.

Volgens Morphisec wijzigt de malware de registerwaardes, bestanden en updateconfiguratie van eScan en zorgt ervoor dat de virusscanner niet goed meer functioneert. Zo worden updates niet meer automatisch door de antivirussoftware gedownload. Het automatisch herstellen van de infectie via eScan is daardoor niet mogelijk, aldus de onderzoekers. Getroffen organisaties moeten daardoor zelf contact met eScan opnemen om de update/patch voor het herstellen van de infectie handmatig te verkrijgen en installeren, zo stellen de onderzoekers verder.

Morphisec stelt dat zowel organisaties als eindgebruikers via de malafide update met "multi-stage malware" besmet zijn geraakt, waaronder een backdoor, en besmette machines verbinding met een command & control-server verbinding maken om aanvullende malware te downloaden. Verder meldt het securitybedrijf dat de malafide update was gesigneerd met een certificaat van eScan. Hoe de aanvallers de updateserver konden compromitteren is niet bekendgemaakt.