Kimliği belirsiz tehdit aktörleri, ScreenConnect uzaktan erişim aracını kullanarak AsyncRAT kötü amaçlı yazılımını dağıtmak için yeni bir kampanya yürütüyor. Kaspersky'nin raporuna göre bu faaliyet, sahte web sitelerinde barındırılan kötü amaçlı yükleyici arşivlerini dağıtan 'büyük ölçekli, çok alan adlı ve çok dilli' bir kampanyanın parçası. Bu yükleyiciler, OBS Studio, DNS Jumper, DS4Windows ve Bandicam gibi popüler yazılımları taklit ediyor. Rus siber güvenlik şirketi, İngilizce, Rusça, Çince, Almanca, Fransızca, İspanyolca, Portekizce ve Arapça dahil olmak üzere 10 dilde yerelleştirilmiş 90'dan fazla alan adı tespit etti. Bu alan adlarının bir kısmı Ağustos 2025 ile Mart 2026 arasında oluşturuldu.
Kaspersky araştırmacısı Denis Kulik, 'Kötü amaçlı arşivler, meşru, imzalı bir Microsoft install.exe ikili dosyasını, sahte bir install.res.1033.dll kütüphanesiyle birlikte paketliyor. Bu, DLL yan yükleme (side-loading) yoluyla cihaza yükleniyor ve ScreenConnect hizmetini devreye sokuyor. Bu hizmet, tehdit aktörlerinden gelecek talimatları bekliyor. Bu, saldırganların bireysel kullanıcılardan kuruluşlara kadar uzanan kurbanların uç noktaları üzerinde kontrol sahibi olmasını sağlıyor' dedi.
ScreenConnect çalıştırıldıktan sonra, bir PowerShell betiği ('Fj5NmEsp9EuKrun.ps1') oluşturup çalıştırıyor. Bu betik, Microsoft Defender istisnalarını yapılandırıyor, Kullanıcı Hesabı Denetimi (UAC) istemlerini devre dışı bırakıyor ve 'installer_method3_stream.vbs' adlı bir VBScript dosyası oluşturuyor. Bu betik, 'C:\Users\Public' dizininde beş dosya oluşturuyor: msgbox.txt, secret_bytes.txt, 1.vb, cap.ps1 ve script.vbs. Ardından, tüm aktif PowerShell işlemlerini sonlandıran ve 'cap.ps1' betiğini gizli bir pencerede çalıştıran 'script.vbs' dosyasını tetikliyor. PowerShell betiğinin temel amacı, 'secret_bytes.txt' dosyasının içeriğini okuyarak AsyncRAT modülünü çıkarmak ve işlem boşaltma (process hollowing) yöntemiyle çalıştırmak.
Kötü amaçlı yazılım daha sonra 'mora1987.work[.]gd' adresindeki uzak bir sunucuya bağlanarak tehdit aktörünün enfekte Windows sistemlerini gizlice kontrol etmesine, hassas verileri çalmasına ve ekran içeriğini kaydederek kullanıcı etkinliğini izlemesine olanak tanıyor. Kalıcılık, her iki dakikada bir etkinleştirilen ve 'script.vbs' dosyasını çalıştıran 'MasterPackager.Updater' adlı bir zamanlanmış görevle sağlanıyor. Kaspersky, 'Tehdit aktörü, ScreenConnect'i popüler yardımcı programlar olarak gizliyor ve resmi ürün sayfalarını taklit eden sahte web siteleri aracılığıyla dağıtıyor. Saldırganlar, bu siteleri Google ve Bing gibi arama motorlarında üst sıralara çıkarmak için SEO tekniklerini kullanıyor' dedi.