Bilinmeyen tehdit aktörleri, ScreenConnect uzaktan erişim aracını kullanarak AsyncRAT kötü amaçlı yazılımını dağıtmak için yeni bir kampanya başlattı. Kaspersky araştırmacılarına göre bu faaliyet, sahte web sitelerinde barındırılan kötü amaçlı yükleyici arşivlerini dağıtan 'büyük ölçekli, çok alan adlı, çok dilli' bir kampanyanın parçası. Bu yükleyiciler, OBS Studio, DNS Jumper, DS4Windows ve Bandicam gibi popüler yazılımlar olarak gizleniyor. Rus siber güvenlik şirketi, İngilizce, Rusça, Çince, Almanca, Fransızca, İspanyolca, Portekizce ve Arapça dahil 10 dilde yerelleştirilmiş 90'dan fazla alan adı tespit etti. Bu alan adlarından bazıları Ağustos 2025 ile Mart 2026 arasında oluşturuldu.
Kötü amaçlı arşivler, meşru, imzalı bir Microsoft install.exe ikili dosyasını, sahte bir install.res.1033.dll kütüphanesiyle birlikte paketliyor. Güvenlik araştırmacısı Denis Kulik, 'DLL yan yükleme yoluyla cihaza yüklenen bu kütüphane, ScreenConnect hizmetini devreye sokuyor ve tehdit aktörlerinden gelecek talimatları bekliyor' dedi. Bu, saldırganların bireysel kullanıcılardan kuruluşlara kadar uzanan kurbanların uç noktaları üzerinde kontrol sahibi olmasına olanak tanıyor. ScreenConnect çalışmaya başladığında, bir PowerShell betiği ('Fj5NmEsp9EuKrun.ps1') oluşturup çalıştırarak Microsoft Defender istisnalarını yapılandırıyor, Kullanıcı Hesabı Denetimi (UAC) istemlerini devre dışı bırakıyor ve 'installer_method3_stream.vbs' adlı bir VBScript dosyası oluşturuyor.
Bu betik, 'C:\Users\Public' dizininde msgbox.txt, secret_bytes.txt, 1.vb, cap.ps1 ve script.vbs olmak üzere beş dosya oluşturuyor. Bir sonraki aşamada, tüm aktif PowerShell işlemlerini sonlandıran ve 'cap.ps1' dosyasını gizli bir pencerede çalıştıran 'script.vbs' tetikleniyor. PowerShell betiğinin ana amacı, 'secret_bytes.txt' dosyasının içeriğini okumak, AsyncRAT modülünü çıkarmak ve işlem içi boşaltma (process hollowing) kullanarak çalıştırmak. Kötü amaçlı yazılım daha sonra 'mora1987.work[.]gd' adlı uzak bir sunucuya bağlanarak tehdit aktörünün enfekte Windows sistemlerini gizlice kontrol etmesine, hassas verileri çalmasına ve ekran içeriğini kaydederek kullanıcı etkinliğini izlemesine olanak tanıyor.
Teknik Analiz
Kalıcılık, her iki dakikada bir 'script.vbs' dosyasını çalıştırmak için etkinleştirilen 'MasterPackager.Updater' adlı zamanlanmış bir görev aracılığıyla sağlanıyor ve sistem yeniden başlatıldıktan sonra saldırının tamamen yürütülmesini garanti ediyor. Kaspersky, 'Tehdit aktörü, ScreenConnect'i popüler yardımcı programlar olarak gizliyor ve resmi ürün sayfalarını taklit eden sahte web siteleri aracılığıyla dağıtıyor. Saldırganlar, bu siteleri Google ve Bing gibi arama motorlarında sonuçların üst sıralarına çıkarmak için arama motoru optimizasyonu tekniklerinden yararlanıyor' dedi. Kullanıcıların yazılım indirirken dikkatli olmaları ve yalnızca resmi kaynakları kullanmaları öneriliyor.