Door SEO vergiftigde softwaresites misbruiken ScreenConnect om AsyncRAT te implementeren

Onbekende bedreigingsactoren maken gebruik van de ScreenConnect-tool voor externe toegang als een manier om AsyncRAT te implementeren en uit te voeren.

Kaspersky zei dat de activiteit deel uitmaakt van een “enorme, multi-domein, meertalige” campagne die kwaadaardige installatiearchieven verspreidt die worden gehost op vervalste websites.

Deze installatieprogramma’s doen zich voor als populaire software zoals onder andere OBS Studio, DNS Jumper, DS4Windows en Bandicam. Het Russische cyberbeveiligingsbedrijf zei dat het meer dan 90 domeinnamen heeft geïdentificeerd, gelokaliseerd in 10 talen, waaronder Engels, Russisch, Chinees, Duits, Frans, Spaans, Portugees en Arabisch. Sommige van deze domeinen zijn tussen augustus 2025 en maart 2026 opgezet.

“De kwaadaardige archieven bundelen een legitiem, ondertekend Microsoft install.exe binair bestand naast een frauduleuze install.res.1033.dll-bibliotheek”, aldus beveiligingsonderzoeker Denis Kulik. “Het wordt via DLL side-loading op het apparaat geladen en gebruikt de ScreenConnect-service, die wacht op verdere instructies van de bedreigingsactoren.”

“Hierdoor konden de aanvallers de controle behouden over gecompromitteerde eindpunten, met slachtoffers variërend van individuele gebruikers tot organisaties.”

Zodra ScreenConnect actief is, maakt en voert de service een PowerShell-script (“Fj5NmEsp9EuKrun.ps1”) aan, dat Microsoft Defender-uitsluitingen configureert, gebruikersaccountbeheer (UAC)-prompts uitschakelt en vervolgens een Visual Basic Script (VBScript)-bestand maakt met de naam “installer_method3_stream.vbs.”

Het script maakt op zijn beurt een set van vijf bestanden aan in de map “C:UsersPublic” –

  • msgbox.txt
  • geheime_bytes.txt
  • 1.vb
  • cap.ps1
  • script.vbs

In de volgende fase activeert het de uitvoering van “script.vbs”, een script dat verantwoordelijk is voor het beëindigen van alle actieve PowerShell-processen en het uitvoeren van “cap.ps1” in een verborgen venster. Het primaire doel van het PowerShell-script is om de inhoud van het bestand “secret_bytes.txt” te lezen, daaruit de AsyncRAT-module te extraheren en deze uit te voeren met behulp van procesuitholling.

De malware brengt vervolgens een verbinding tot stand met een externe server (“mora1987.work(.)gd”), waardoor de bedreigingsacteur heimelijk geïnfecteerde Windows-systemen kan controleren, gevoelige gegevens kan stelen en de gebruikersactiviteit kan monitoren door scherminhoud op te nemen.

Persistentie wordt tot stand gebracht door middel van een geplande taak (“MasterPackager.Updater”) die elke twee minuten wordt geactiveerd om “script.vbs” uit te voeren, waardoor wordt verzekerd dat de volledige aanval wordt uitgevoerd nadat het systeem opnieuw is opgestart.

“De dreigingsactor vermomt ScreenConnect als populaire hulpprogramma’s en verspreidt het via frauduleuze websites die officiële productpagina’s nabootsen”, aldus Kaspersky. “De aanvallers maken gebruik van zoekmachineoptimalisatietechnieken om deze sites naar de top van de zoekresultaten te duwen in zoekmachines als Google en Bing.”

Thijs Van der Does