SEO Zehirli Yazılım Siteleri: ScreenConnect ile AsyncRAT Bulaştırma Kampanyası Yazılım

SEO Zehirli Yazılım Siteleri: ScreenConnect ile AsyncRAT Bulaştırma Kampanyası

Kaspersky, sahte yazılım siteleri üzerinden ScreenConnect aracılığıyla AsyncRAT bulaştıran büyük bir kampanya keşfetti. 10 dilde 90'dan fazla alan adı

Bilinmeyen tehdit aktörleri, ScreenConnect uzaktan erişim aracını kullanarak AsyncRAT kötü amaçlı yazılımını yaymak için büyük bir kampanya yürütüyor. Kaspersky'nin tespitine göre bu faaliyet, sahte web sitelerinde barındırılan kötü amaçlı kurulum arşivlerini dağıtan 'devasa, çok alan adlı ve çok dilli' bir kampanyanın parçası. Saldırganlar, OBS Studio, DNS Jumper, DS4Windows ve Bandicam gibi popüler yazılımları taklit eden kurulum dosyaları kullanıyor. Kaspersky, İngilizce, Rusça, Çince, Almanca, Fransızca, İspanyolca, Portekizce ve Arapça dahil 10 dilde 90'dan fazla alan adı tespit etti. Bu alan adlarının bazıları Ağustos 2025 ile Mart 2026 arasında oluşturulmuş.

Kötü amaçlı arşivler, meşru ve imzalı bir Microsoft install.exe dosyasının yanı sıra sahte bir install.res.1033.dll kütüphanesi içeriyor. Güvenlik araştırmacısı Denis Kulik, 'Kötü amaçlı arşivler, meşru, imzalı bir Microsoft install.exe ikili dosyasını ve sahte bir install.res.1033.dll kütüphanesini bir araya getiriyor. Bu kütüphane, DLL side-loading yoluyla cihaza yükleniyor ve ScreenConnect hizmetini devreye sokuyor, ardından tehdit aktörlerinden gelecek talimatları bekliyor.' dedi. Bu yöntem, saldırganların bireysel kullanıcılardan kuruluşlara kadar geniş bir yelpazedeki kurbanların uç noktaları üzerinde kontrol sağlamasına olanak tanıyor.

ScreenConnect çalışmaya başladığında, bir PowerShell betiği (Fj5NmEsp9EuKrun.ps1) oluşturuyor ve çalıştırıyor. Bu betik, Microsoft Defender istisnalarını yapılandırıyor, Kullanıcı Hesabı Denetimi (UAC) istemlerini devre dışı bırakıyor ve 'installer_method3_stream.vbs' adında bir VBScript dosyası oluşturuyor. Bu betik, 'C:\Users\Public' dizininde msgbox.txt, secret_bytes.txt, 1.vb, cap.ps1 ve script.vbs olmak üzere beş dosya oluşturuyor. Ardından, script.vbs dosyası çalıştırılıyor ve bu dosya tüm aktif PowerShell süreçlerini sonlandırarak cap.ps1 betiğini gizli bir pencerede çalıştırıyor. PowerShell betiğinin asıl amacı, secret_bytes.txt dosyasının içeriğini okumak, AsyncRAT modülünü çıkarmak ve process hollowing tekniği ile çalıştırmak.

Kötü amaçlı yazılım daha sonra 'mora1987.work[.]gd' uzak sunucusuna bağlanarak tehdit aktörünün enfekte Windows sistemlerini gizlice kontrol etmesine, hassas verileri çalmasına ve ekran kaydı yaparak kullanıcı aktivitelerini izlemesine olanak tanıyor. Kalıcılık, her iki dakikada bir etkinleşen ve script.vbs dosyasını çalıştıran 'MasterPackager.Updater' adlı bir zamanlanmış görev ile sağlanıyor. Kaspersky, 'Tehdit aktörü ScreenConnect'i popüler yardımcı programlar olarak gizliyor ve resmi ürün sayfalarını taklit eden sahte web siteleri aracılığıyla dağıtıyor. Saldırganlar, bu siteleri Google ve Bing gibi arama motorlarında üst sıralara çıkarmak için arama motoru optimizasyonu tekniklerinden yararlanıyor.' dedi.

Paylaş: