Bilgisayar korsanları, ScreenConnect uzaktan erişim aracını kullanarak AsyncRAT adlı kötü amaçlı yazılımı yaymak için yeni bir kampanya başlattı. Kaspersky araştırmacılarına göre bu, sahte web siteleri üzerinden barındırılan kötü amaçlı yükleyici arşivlerini dağıtan 'büyük ölçekli, çok alan adlı ve çok dilli' bir operasyon. Sahte siteler, OBS Studio, DNS Jumper, DS4Windows ve Bandicam gibi popüler yazılımların taklitlerini sunuyor. Kaspersky, Ağustos 2025 ile Mart 2026 arasında oluşturulan ve İngilizce, Rusça, Çince, Almanca, Fransızca, İspanyolca, Portekizce ve Arapça dahil 10 dilde yerelleştirilmiş 90'dan fazla alan adı tespit etti.
Kötü amaçlı arşivler, meşru ve imzalı bir Microsoft install.exe ikili dosyası ile birlikte sahte bir install.res.1033.dll kütüphanesi içeriyor. Güvenlik araştırmacısı Denis Kulik, 'DLL sideloading yoluyla cihaza yüklenen bu kütüphane, ScreenConnect hizmetini devreye sokuyor ve tehdit aktörlerinden gelecek komutları bekliyor' dedi. Bu yöntem, saldırganların enfekte sistemler üzerinde kontrol sağlamasına olanak tanıyor. Hedefler arasında bireysel kullanıcılardan kuruluşlara kadar geniş bir yelpaze bulunuyor.
ScreenConnect çalıştırıldığında, PowerShell betiği (Fj5NmEsp9EuKrun.ps1) oluşturup çalıştırıyor. Bu betik, Microsoft Defender istisnalarını yapılandırıyor, Kullanıcı Hesabı Denetimi (UAC) uyarılarını devre dışı bırakıyor ve 'installer_method3_stream.vbs' adlı bir VBScript dosyası oluşturuyor. Bu VBScript, C:\Users\Public dizininde msgbox.txt, secret_bytes.txt, 1.vb, cap.ps1 ve script.vbs olmak üzere beş dosya oluşturuyor. Ardından script.vbs çalıştırılıyor; bu betik tüm aktif PowerShell işlemlerini sonlandırıp cap.ps1'i gizli bir pencerede çalıştırıyor. PowerShell betiği, secret_bytes.txt dosyasındaki verileri okuyor, AsyncRAT modülünü çıkarıyor ve process hollowing tekniğiyle çalıştırıyor.
Kötü amaçlı yazılım, 'mora1987.work[.]gd' adresindeki uzak bir sunucuya bağlanarak tehdit aktörünün enfekte Windows sistemlerini gizlice kontrol etmesine, hassas verileri çalmasına ve ekran içeriğini kaydederek kullanıcı aktivitelerini izlemesine olanak tanıyor. Kalıcılık, her iki dakikada bir script.vbs'yi çalıştıran 'MasterPackager.Updater' adlı zamanlanmış görevle sağlanıyor. Kaspersky, 'Tehdit aktörü, ScreenConnect'i popüler yardımcı programlar gibi gizleyerek orijinal ürün sayfalarını taklit eden sahte web siteleri üzerinden dağıtıyor' dedi. Saldırganlar, Google ve Bing gibi arama motorlarında bu siteleri üst sıralara çıkarmak için SEO optimizasyon tekniklerinden yararlanıyor.