Неизвестни киберпрестъпници използват инструмента за отдалечен достъп ScreenConnect като метод за внедряване и изпълнение на AsyncRAT.
Kaspersky съобщава, че тази дейност е част от „мащабна кампания с множество домейни и езици“, която разпространява зловредни инсталационни архиви, хоствани на фалшиви уебсайтове.
Тези инсталатори се маскират като популярен софтуер, включително OBS Studio, DNS Jumper, DS4Windows и Bandicam. Руската компания за киберсигурност заяви, че е идентифицирала над 90 имена на домейни, локализирани на 10 езика, включително английски, руски, китайски, немски, френски, испански, португалски и арабски. Някои от тези домейни са създадени между август 2025 г. и март 2026 г.
„Зловредните архиви съдържат легитимен, подписан двоичен файл на Microsoft install.exe заедно със зловредна библиотека install.res.1033.dll“, казва изследователят по сигурността Денис Кулик. „Той се зарежда на устройството чрез DLL side-loading и внедрява услугата ScreenConnect, която очаква допълнителни инструкции от нападателите.“
Това позволява на атакуващите да поддържат контрол над компрометираните крайни точки, като жертвите варират от отделни потребители до цели организации.
След като ScreenConnect стартира, услугата създава и изпълнява PowerShell скрипт („Fj5NmEsp9EuKrun.ps1“), който конфигурира изключения в Microsoft Defender, деактивира подканите за управление на потребителските акаунти (UAC) и след това създава Visual Basic Script (VBScript) файл, наречен „installer_method3_stream.vbs“.
Скриптът от своя страна създава набор от пет файла в директорията „C:\Users\Public“.
В следващия етап се задейства изпълнението на „script.vbs“ – скрипт, който отговаря за прекратяването на всички активни PowerShell процеси и стартирането на „cap.ps1“ в скрит прозорец. Основната цел на PowerShell скрипта е да прочете съдържанието на файла „secret_bytes.txt“, да извлече от него модула AsyncRAT и да го стартира чрез техниката process hollowing.
След това зловредният софтуер установява връзка с отдалечен сървър („mora1987.work[.]gd“), което позволява на атакуващия скрито да контролира заразените Windows системи, да краде чувствителни данни и да наблюдава потребителската дейност чрез запис на съдържанието на екрана.
Персистентността (устойчивостта) се постига чрез планирана задача („MasterPackager.Updater“), която се активира на всеки две минути, за да изпълни „script.vbs“, гарантирайки, че цялата атака ще се стартира отново след рестартиране на системата.
„Нападателите маскират ScreenConnect като популярни помощни програми и го разпространяват чрез измамни уебсайтове, които имитират официалните страници на продуктите“, допълват от Kaspersky. „Те използват техники за оптимизация за търсачки (SEO), за да изтласкат тези сайтове на челните места в резултатите от търсенето в търсачки като Google и Bing.“