كشفت تقارير أمنية صدرت يوم الثلاثاء، 27 يناير 2026، عن تعرض برنامج eScan لاختراق معقد ضمن ما يعرف بهجمات سلاسل الإمداد. وجرى استغلال آلية التحديث الرسمية للبرنامج لتوزيع برمجيات خبيثة تحت غطاء تحديثات موثوقة. وتشير المعطيات التقنية إلى أن المهاجمين استندوا في عمليتهم إلى شهادة توقيع رقمي يعتقد أنها تعرضت للاختراق، ما أتاح للحزم الخبيثة تجاوز أنظمة التحقق والوصول إلى أجهزة المستخدمين عبر قناة شرعية تماماً.
وتتميز البرمجية الموزعة بسلوك يتسم بالتعقيد؛ إذ تعمل على ترسيخ وجودها في النظام المصاب، وتمنح المهاجمين قدرات الوصول والتحكم عن بعد، مع تعطيل قدرة الأجهزة على تلقي أي تحديثات أمنية لاحقة، الأمر الذي يعيق جهود الاستجابة ويرفع من مستوى التهديد.
آلية التنفيذ: توظيف القنوات الرسمية لنشر حمولات متعددة المراحل
أفادت نشرة فنية صادرة عن شركة Morphisec، بتاريخ الجمعة 23 يناير 2026، أن موجة التحديثات الخبيثة بدأت في العشرين من الشهر ذاته عبر البنية التحتية الخاصة بتحديثات eScan. واستهدفت هذه الموجة أجهزة أفراد ومؤسسات من خلال إسقاط برمجيات مؤذية.
وشملت الحمولة الخبيثة استبدال ملف داخلي حيوي ضمن البرنامج وهو (Reload.exe)، إضافة إلى زرع مكون خارجي تحت اسم (CONSCTLX.exe) يستخدم لتسهيل الاتصال عن بعد. كما عمدت البرمجية إلى التلاعب بملف المضيفين (hosts) في نظام Windows، وأجرت تعديلات جوهرية على سجل النظام (Registry) لضمان وقف أي تحديثات مستقبلية.
المؤشرات الفنية: رصد آثار التلاعب بالبنية التحتية
تضمنت البيانات الفنية تفاصيل دقيقة لمؤشرات الإصابة، شملت ملفات تنفيذية محددة وبصمة شهادة التوقيع الرقمية المستخدمة، وقيم التجزئة من نوع (SHA-256)، فضلاً عن رصد نطاقات وعناوين بروتوكول الإنترنت (IP) المشبوهة. وتوفر هذه المؤشرات مساراً أولياً لفرق الأمن السيبراني لتحليل الأثر الرقمي وتحديد الأجهزة المتضررة.
وتعيد هذه الحادثة تسليط الضوء على ضرورة عدم اعتبار التوقيع الرقمي ضمانة نهائية وقطعية للسلامة؛ إذ يظل عرضة للاستغلال في حال تعرض الشهادة ذاتها أو مسار التوزيع لعملية اختراق.
الوقائع المؤكدة ومسارات التحقيق الجارية
يظل من المؤكد حتى اللحظة استغلال آلية تحديث eScan لتمرير برمجيات ضارة بدت في ظاهرها موثوقة. ومع ذلك، لم تكشف التفاصيل المتعلقة بالجهة المنفذة للهجوم أو النطاق الكامل للضحايا بعد. كما لم يصدر حتى الآن تأكيد رسمي من الشركة المنتجة حول حقيقة اختراق شهادة التوقيع أو اعتبارها السبب المباشر والوحيد للحادثة.
توصيات عاجلة لتعزيز الاستجابة السيبرانية
تطالب الجهات الأمنية فرق تقنية المعلومات والتحليل السيبراني باتخاذ الخطوات التالية:
- حصر نطاق الإصابة: مراجعة سجلات تحديث eScan على كافة الأجهزة منذ تاريخ 20 يناير، ورصد أي نشاط غير اعتيادي خلال هذه الفترة.
- تفعيل مؤشرات الإصابة (IoCs): دمج المؤشرات الفنية التي وفرتها مورفيسيك في أدوات الفحص، مع التركيز على قيم التجزئة وبصمات الشهادات.
- تدقيق إعدادات النظام: فحص ملف الـ hosts وسجل النظام للتأكد من عدم وجود تعديلات تمنع التحديثات، خاصة المفاتيح المرتبطة بالبرنامج المستهدف.
- العزل الفوري: عزل أي جهاز تظهر عليه دلائل الإصابة، والبدء في تحقيق موسع لضمان عدم حدوث تحركات جانبية للمهاجمين داخل الشبكة.
- مراجعة سياسات التوزيع: إلغاء أي شهادات توقيع يُشتبه في سلامتها، وتشديد الرقابة على قنوات توزيع البرمجيات لضمان سلامة الحزم قبل وصولها للمستخدم النهائي.
