Скрита кампания превръща легитимен софтуер за отдалечен достъп в оръжие срещу обикновени потребители и бизнеси. Нападателите са скрили троянския кон AsyncRAT в фалшиви инсталатори на софтуер, което му позволява да премине покрай базовите проверки за сигурност.
Кампанията разчита на техниката DLL sideloading и легитимния инструмент за отдалечено администриране ScreenConnect, което затруднява жертвите да забележат, че нещо не е наред.
Разследващите са проследили активността до над 90 фалшиви уебсайта, създадени да изглеждат като страници за изтегляне на популярни безплатни програми като OBS Studio, DNS Jumper, Bandicam и DS4Windows.
Анализаторите от Securelist първи идентифицират модела по време на реагиране на инцидент, засечен от екипа на Kaspersky Managed Detection and Response. Предупреждението е било свързано с необичайни PowerShell и VBS скриптове, стартирани от процес на ScreenConnect.
Инструменти като ScreenConnect често са разрешени по подразбиране в корпоративните политики за сигурност, което позволява на нападателите да се придвижват в мрежата без да задействат аларми. Веднж вътре, AsyncRAT позволява на операторите да крадат идентификационни данни и да поддържат дългосрочен достъп до системите.
Атаката започва, когато потребителят изтегли архив (например obs-studio-windows-x64.zip). Вътре се намира легитимен, подписан от Microsoft изпълним файл, преименуван да изглежда като истинския инсталатор, заедно със зловредна библиотека install.res.1033.dll. Чрез DLL sideloading се зарежда зловредната библиотека и ScreenConnect се инсталира скрито на заден план, докато легитимната програма се инсталира нормално.
След като се активира, ScreenConnect създава PowerShell скрипт, който добавя изключения в Microsoft Defender и деактивира предупрежденията за User Account Control (UAC). След това зловредният код се декодира и инжектира в легитимния системен процес RegAsm.exe чрез process hollowing, а планирана задача на име MasterPackager.Updater осигурява персистентност на всеки две минути.