Giriş
eScan antivirus yazılımının güncelleme altyapısının bilinmeyen saldırganlar tarafından ele geçirilmesi, hem kurumsal hem de bireysel sistemlere kalıcı bir indirme aracısı göndermek amacıyla kullanıldı. Bu durum, güvenlik çözümlerinin kendi güncellemeleri aracılığıyla bile tehdit oluşturabileceğini ortaya koyuyor.
Saldırı Nasıl Çalışıyor?
Morphisec araştırmacısı Michael Gorelik, eScan’ın meşru güncelleme altyapısı üzerinden kötü niyetli güncellemelerin dağıtıldığını ve bu durumun dünya çapında çok aşamalı kötü amaçlı yazılımların dağıtımına neden olduğunu belirtti. Saldırı, 20 Ocak 2026’da gerçekleşti ve bu tarihlerde yalnızca belirli bir zaman diliminde sistemi otomatik olarak güncelleyebilen kullanıcıları etkiledi.
Kötü niyetli yük, sistemin normal işleyişini bozarak otomatik onarımları engelliyor ve zararlı bir “Reload.exe” dosyasını indiriyor. Bu dosya, dış sunuculara bağlanarak daha fazla zararlı yazılım yüklemektedir.
- Kötü niyetli “Reload.exe” dosyası, “C:Program Files (x86)escanreload.exe” konumundaki meşru dosyanın yerini alarak güncellemeleri engellemektedir.
- Dosya, yüklü yazılımları ve çalışan süreçleri kontrol ederek tanımladığı herhangi bir güvenlik çözümünü (örneğin Kaspersky) tespit ettiğinde yükleme işlemini durdurmaktadır.
Etkilenen Sistemler
Kaspersky’nin analizi, Hindistan, Bangladeş, Sri Lanka ve Filipinler’deki bireyler ve kuruluşlar dahil olmak üzere “yüzlerce makinenin” bu tedarik zinciri saldırısıyla karşılaştığını göstermektedir. Saldırı, eScan güncelleme mekanizmasının incelenmesi sonucunda geliştirilmiştir; bu da saldırganların hedef sisteme dair detaylı bir bilgiye sahip olduğunu ortaya koymaktadır.
Çözüm ve Korunma
MicroWorld Technologies, olaydan hemen sonra etkilenen güncelleme sunucularını izole etti ve yaklaşık sekiz saat boyunca çevrimdışı kaldı. Şirket, kötü niyetli güncellemenin etkilerini geri alan bir yamanın yayımlandığını bildirdi. Etkilenen kuruluşların MicroWorld Technologies ile iletişime geçerek bu düzeltmeyi alması önerilmektedir.
- Güncelleme: eScan’ın en son güncellemesini hemen yükleyin.
- Port kapatma: Gerekli olmadıkça güncellemeleri otomatik olarak almaktan kaçının.
Sonuç olarak, güvenlik çözümleri her ne kadar önem taşısa da, bu gibi durumlarda güncelleme süreçlerinin dikkatle izlenmesi ve zararlı yazılımlara karşı daima hazırlıklı olunması gerekmektedir. Güvenlik tehditlerine karşı proaktif bir yaklaşım izlenmelidir.
