Эксперты «Лаборатории Касперского» обнаружили кампанию, операторы которой распространяют легитимный инструмент удаленного доступа ScreenConnect, маскируя его под популярные программы для Windows. Исследователи выявили более 90 поддельных доменов на десяти языках, включая русский.

Вредоносные сайты имитируют официальные страницы OBS Studio, DNS Jumper, DS4Windows, Glary Utilities, Bandicam, Process Hacker и других бесплатных утилит. Атакующие продвигают такие ресурсы с помощью SEO, поэтому подделки оказываются среди первых результатов поиска в Google, Bing и других поисковиках.

Расследование началось после того, как сервис Kaspersky Managed Detection and Response зафиксировал подозрительные PowerShell- и VBS-скрипты, запущенные процессом ScreenConnect. Оказалось, что с помощью этой утилиты хакеры развернули на зараженном компьютере опенсорсный троян удаленного доступа AsyncRAT.

Ретроспективный анализ показал, что пользователь скачал архив obs-studio-windows-x64.zip с сайта, имитировавшего официальный ресурс OBS Studio. Аналогичную схему исследователи обнаружили и на десятках других доменов.

Загруженные с таких сайтов вредоносные архивы содержат легитимный подписанный файл install.exe и библиотеку install.res.1033.dll. При запуске установщика библиотека загружается с помощью техники DLL sideloading и устанавливает сразу две программы: ту, которую рассчитывала получить жертва, и ScreenConnect. При этом средство удаленного доступа разворачивается в тихом режиме и без перезагрузки.

ScreenConnect регистрируется в системе как служба с безобидным названием Microsoft Update Service и подключается к серверу атакующих. Благодаря этому хакеры получают доступ к системе и могут переходить к следующим этапам атаки.

В изученном специалистами инциденте вредоносные скрипты добавляли в исключения Windows Defender диски, директории и процесс RegAsm.exe, а также отключали контроль учетных записей. Затем пейлоад расшифровывался и внедрялся в приостановленный процесс RegAsm.exe с помощью техники process hollowing. В результате внутри доверенного системного процесса запускался AsyncRAT. Для закрепления на машине жертвы малварь создавала задачу планировщика MasterPackager.Updater, которая срабатывала каждые две минуты.

AsyncRAT позволяет своим операторам полностью контролировать скомпрометированный компьютер, похищать данные и устанавливать дополнительную малварь.

Подчеркивается, что особую опасность схема представляет для корпоративных сетей, где инструменты для удаленного администрирования часто находятся в списках разрешенного ПО и работают с повышенными привилегиями.

По данным исследователей, инфраструктура этой вредоносной кампании начала формироваться в октябре 2025 года. Сначала хакеры маскировали свои сайты под разные игры, а с января 2026 года переключились на бесплатные утилиты. Число регистраций поддельных доменов достигло пика в феврале. Судя по C2-инфраструктуре хакеров, активность приостановилась в конце марта, однако на момент публикации исследования многие сайты-приманки все еще оставались доступны.

«Кампания нацелена как на обычных пользователей, которые скачивают бесплатные утилиты из интернета, так и на корпоративные сети, где инструменты удаленного доступа часто находятся в списке разрешенного ПО и обладают повышенными привилегиями. Она опасна тем, что может привести к масштабной краже учетных данных и получению несанкционированного доступа к системам. Украденная информация в дальнейшем может использоваться для перепродажи на теневых площадках», — предупреждает Денис Кулик, эксперт по кибербезопасности в «Лаборатории Касперского».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии