Bilinmeyen tehdit aktörleri, AsyncRAT'ı dağıtmanın ve yürütmenin bir yolu olarak ScreenConnect uzaktan erişim aracından yararlanıyor.
Kaspersky, etkinliğin sahte web sitelerinde barındırılan kötü amaçlı yükleyici arşivlerini dağıtan "devasa, çok alanlı, çok dilli" bir kampanyanın parçası olduğunu söyledi.
Bu yükleyiciler, diğerlerinin yanı sıra OBS Studio, DNS Jumper, DS4Windows ve Bandicam gibi popüler yazılımlar gibi görünüyor. Rus siber güvenlik şirketi, aralarında İngilizce, Rusça, Çince, Almanca, Fransızca, İspanyolca, Portekizce ve Arapça'nın da bulunduğu 10 dilde yerelleştirilmiş 90'dan fazla alan adı tespit ettiğini söyledi. Bu alan adlarından bazıları Ağustos 2025 ile Mart 2026 arasında kuruldu.
Güvenlik araştırmacısı Denis Kulik, "Kötü amaçlı arşivler, sahte bir install.res.1033.dll kitaplığının yanı sıra meşru, imzalı bir Microsoft install.exe ikili dosyasını da paketliyor" dedi. "DLL tarafı yükleme yoluyla cihaza yükleniyor ve tehdit aktörlerinden daha fazla talimat bekleyen ScreenConnect hizmetini dağıtıyor."
"Bu, saldırganların, bireysel kullanıcılardan kuruluşlara kadar çeşitli kurbanların bulunduğu, güvenliği ihlal edilmiş uç noktalar üzerinde kontrol sahibi olmalarını sağladı."
ScreenConnect çalışır hale geldikten sonra hizmet, Microsoft Defender dışlamalarını yapılandıran, Kullanıcı Hesabı Denetimi (UAC) istemlerini devre dışı bırakan ve ardından "installer_method3_stream.vbs" adlı bir Visual Basic Komut Dosyası (VBScript) dosyası oluşturan bir PowerShell betiği ("Fj5NmEsp9EuKrun.ps1") oluşturur ve yürütür.
Komut dosyası, "C:\Users\Public dizini"nde beş dosyadan oluşan bir grup oluşturur -
Sistem Güvenliği
Bir sonraki aşamada, tüm etkin PowerShell işlemlerinin sonlandırılmasından ve "cap.ps1"in gizli bir pencerede çalıştırılmasından sorumlu olan bir komut dosyası olan "script.vbs"nin yürütülmesini tetikler. PowerShell betiğinin birincil amacı, "secret_bytes.txt" dosyasının içeriğini okumak, bu dosyadan AsyncRAT modülünü çıkarmak ve onu işlem boşluğunu kullanarak çalıştırmaktır.
Kötü amaçlı yazılım daha sonra uzak bir sunucuyla ("mora1987.work[.]gd") bağlantı kurarak tehdit aktörünün virüslü Windows sistemlerini gizlice kontrol etmesine, hassas verileri çalmasına ve ekran içeriğini kaydederek kullanıcı etkinliğini izlemesine olanak tanır.
Kalıcılık, "script.vbs"yi yürütmek için her iki dakikada bir etkinleştirilen zamanlanmış bir görev ("MasterPackager.Updater") aracılığıyla sağlanır ve tüm saldırının sistem yeniden başlatıldıktan sonra çalıştırılması sağlanır.
Kaspersky, "Tehdit aktörü, ScreenConnect'i popüler bir araç gibi gösteriyor ve resmi ürün sayfalarını taklit eden sahte web siteleri aracılığıyla dağıtıyor" dedi. "Saldırganlar, bu siteleri Google ve Bing gibi motorlarda arama sonuçlarının en üstüne çıkarmak için arama motoru optimizasyon tekniklerinden yararlanıyor."