Bilgisayar korsanları, ScreenConnect uzaktan erişim aracını kullanarak AsyncRAT kötü amaçlı yazılımını yaymak için yeni bir kampanya başlattı. Kaspersky'nin raporuna göre, bu kampanya 'büyük ölçekli, çok alan adlı ve çok dilli' bir yapıya sahip. Saldırganlar, OBS Studio, DNS Jumper, DS4Windows ve Bandicam gibi popüler yazılımları taklit eden sahte web siteleri oluşturarak kullanıcıları kötü amaçlı yükleyicilere yönlendiriyor. Kaspersky, İngilizce, Rusça, Çince, Almanca, Fransızca, İspanyolca, Portekizce ve Arapça dahil 10 dilde 90'dan fazla alan adı tespit etti. Bu alan adlarının bir kısmı Ağustos 2025 ile Mart 2026 arasında oluşturulmuş.
Saldırıda kullanılan kötü amaçlı arşivler, meşru ve imzalı bir Microsoft install.exe ikili dosyasını, zararlı bir install.res.1033.dll kütüphanesiyle birlikte içeriyor. Güvenlik araştırmacısı Denis Kulik, 'Kötü amaçlı DLL, DLL yan yükleme yoluyla cihaza yükleniyor ve ScreenConnect hizmetini devreye sokuyor. Bu hizmet, tehdit aktörlerinden gelecek talimatları bekliyor.' dedi. Bu yöntem, saldırganların bireysel kullanıcılardan kuruluşlara kadar geniş bir yelpazedeki kurbanların cihazlarını kontrol etmesine olanak tanıyor.
ScreenConnect çalıştıktan sonra, bir PowerShell betiği (Fj5NmEsp9EuKrun.ps1) oluşturup çalıştırıyor. Bu betik, Microsoft Defender'ı devre dışı bırakmak için istisnalar ekliyor, Kullanıcı Hesabı Denetimi (UAC) uyarılarını kapatıyor ve 'installer_method3_stream.vbs' adlı bir VBScript dosyası oluşturuyor. Bu VBScript, C:\Users\Public dizininde beş dosya oluşturuyor: msgbox.txt, secret_bytes.txt, 1.vb, cap.ps1 ve script.vbs. Ardından script.vbs çalıştırılıyor; bu betik tüm aktif PowerShell işlemlerini sonlandırıp cap.ps1'i gizli bir pencerede çalıştırıyor. cap.ps1, secret_bytes.txt dosyasındaki AsyncRAT modülünü okuyup process hollowing yöntemiyle çalıştırıyor.
Teknik Analiz
AsyncRAT, mora1987.work[.]gd sunucusuna bağlanarak saldırganın enfekte Windows sistemlerini gizlice kontrol etmesine, hassas verileri çalmasına ve ekran görüntülerini kaydederek kullanıcı aktivitelerini izlemesine olanak tanıyor. Kalıcılığı sağlamak için her iki dakikada bir çalışan 'MasterPackager.Updater' adlı bir zamanlanmış görev oluşturuluyor. Kaspersky, 'Tehdit aktörü, ScreenConnect'i popüler yardımcı programlar gibi gizleyerek resmi ürün sayfalarını taklit eden sahte web siteleri aracılığıyla dağıtıyor. Saldırganlar, bu siteleri Google ve Bing gibi arama motorlarında üst sıralara çıkarmak için SEO tekniklerini kullanıyor.' dedi.