Bilinmeyen tehdit aktörleri, ScreenConnect adlı uzaktan erişim aracını kötüye kullanarak AsyncRAT adlı kötü amaçlı yazılımı yayıyor. Kaspersky’nin raporuna göre, bu faaliyet sahte web siteleri üzerinden dağıtılan kötü amaçlı yükleyici arşivleriyle yürütülen büyük ölçekli, çok alan adlı ve çok dilli bir kampanyanın parçası. Saldırganlar, OBS Studio, DNS Jumper, DS4Windows ve Bandicam gibi popüler yazılımları taklit eden yükleyiciler kullanıyor. Kaspersky, İngilizce, Rusça, Çince, Almanca, Fransızca, İspanyolca, Portekizce ve Arapça dahil 10 dilde yerelleştirilmiş 90’dan fazla alan adı tespit etti. Bu alan adlarının bir kısmı Ağustos 2025 ile Mart 2026 arasında oluşturulmuş.
Kötü amaçlı arşivler, meşru ve imzalı bir Microsoft install.exe ikili dosyasını, sahte bir install.res.1033.dll kütüphanesiyle birlikte içeriyor. Güvenlik araştırmacısı Denis Kulik, 'DLL yan yüklemesi yoluyla cihaza yüklenen bu kütüphane, ScreenConnect hizmetini devreye sokuyor ve tehdit aktörlerinden gelecek talimatları bekliyor' dedi. Bu yöntem, saldırganların bireysel kullanıcılardan kuruluşlara kadar geniş bir yelpazedeki hedefleri kontrol etmesine olanak tanıyor. ScreenConnect çalıştığında, bir PowerShell betiği oluşturup çalıştırıyor; bu betik Microsoft Defender istisnaları yapılandırıyor, Kullanıcı Hesabı Denetimi (UAC) istemlerini devre dışı bırakıyor ve 'installer_method3_stream.vbs' adlı bir VBScript dosyası oluşturuyor.
Bu VBScript, 'C:\Users\Public' dizininde msgbox.txt, secret_bytes.txt, 1.vb, cap.ps1 ve script.vbs olmak üzere beş dosya oluşturuyor. Ardından script.vbs dosyasını çalıştırarak tüm aktif PowerShell işlemlerini sonlandırıyor ve cap.ps1’i gizli bir pencerede çalıştırıyor. PowerShell betiğinin ana amacı, secret_bytes.txt dosyasının içeriğini okuyup AsyncRAT modülünü ayıklamak ve process hollowing tekniğiyle çalıştırmak. Kötü amaçlı yazılım daha sonra 'mora1987.work[.]gd' adlı uzak bir sunucuya bağlanarak saldırganın enfekte Windows sistemlerini gizlice kontrol etmesine, hassas verileri çalmasına ve ekran kaydı yaparak kullanıcı etkinliğini izlemesine olanak tanıyor.
Kalıcılık, her iki dakikada bir etkinleşen ve script.vbs dosyasını çalıştıran 'MasterPackager.Updater' adlı bir zamanlanmış görevle sağlanıyor; böylece sistem yeniden başlatıldığında bile saldırının devam etmesi garanti altına alınıyor. Kaspersky, 'Tehdit aktörü ScreenConnect'i popüler yardımcı programlar olarak gizliyor ve resmi ürün sayfalarını taklit eden sahte web siteleri aracılığıyla dağıtıyor. Saldırganlar, bu siteleri Google ve Bing gibi arama motorlarında üst sıralara çıkarmak için arama motoru optimizasyonu tekniklerini kullanıyor' açıklamasında bulundu.