返回
快讯

SEO投毒网站借ScreenConnect部署AsyncRAT

未知威胁行为者通过仿冒软件站点分发恶意安装包,借助 ScreenConnect 进一步部署并执行 AsyncRAT。Kaspersky 指出该活动规模较大,覆盖多语言域名,利用 DLL side-loading、PowerShell 和计划任务维持控制;建议核查可疑安装包、收紧 Defender 例外并监控异常进程与任务。

未知威胁行为者正利用 ScreenConnect 远程访问工具作为部署和执行 AsyncRAT 的方式。

Kaspersky 表示,这一活动属于一场“massive, multi-domain, multi-language” campaign,分发托管在仿冒网站上的恶意安装包压缩档。

这些安装程序伪装成 OBS Studio、DNS Jumper、DS4Windows 和 Bandicam 等热门软件。该俄罗斯网络安全公司表示,它识别出了 90 多个域名,覆盖 10 种语言本地化内容,包括 English、Russian、Chinese、German、French、Spanish、Portuguese 和 Arabic。其中一些域名建立于 2025 年 8 月至 2026 年 3 月之间。

安全研究员 Denis Kulik 表示:“恶意压缩包将一个合法、已签名的 Microsoft install.exe 二进制文件与一个恶意的 install.res.1033.dll 库捆绑在一起。它通过 DLL side-loading 被加载到设备上,并部署 ScreenConnect service,等待威胁行为者的进一步指令。”

“这使攻击者能够持续控制已被入侵的终端,受害者范围从个人用户到组织。”

一旦 ScreenConnect 运行起来,该服务会创建并执行一个 PowerShell script(“Fj5NmEsp9EuKrun.ps1”),该脚本会配置 Microsoft Defender exclusions、禁用 User Account Control(UAC)提示,然后创建一个名为 “installer_method3_stream.vbs” 的 Visual Basic Script(VBScript)文件。

该脚本随后会在 “C:\Users\Public directory” 中创建五个文件 -

msgbox.txt

secret_bytes.txt

1.vb

cap.ps1

script.vbs

在下一阶段,它会触发执行 “script.vbs”,该脚本负责终止所有正在运行的 PowerShell processes,并在隐藏窗口中运行 “cap.ps1”。这个 PowerShell 脚本的主要目标是读取 “secret_bytes.txt” 文件的内容,从中提取 AsyncRAT 模块,并通过 process hollowing 运行它。

随后,恶意软件会与远程服务器(“mora1987.work[.]gd”)建立连接,使威胁行为者能够秘密控制受感染的 Windows 系统、窃取敏感数据,并通过记录屏幕内容来监视用户活动。

持久化通过一个名为 “MasterPackager.Updater” 的 scheduled task 实现,该任务每两分钟触发一次以执行 “script.vbs”,从而确保整个攻击在系统重启后仍会继续运行。

Kaspersky 表示:“威胁行为者将 ScreenConnect 伪装成热门工具,并通过仿冒官方产品页面的欺诈网站进行分发。攻击者还利用 search engine optimization 技术,将这些站点推到 Google 和 Bing 等搜索引擎结果的靠前位置。”