Эксперты раскрыли гигантскую сеть поддельных сайтов, когда мошенники уже остановили атаки.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Поиск бесплатной программы через интернет оказался достаточным, чтобы незаметно заразить компьютер, поскольку злоумышленники создали более 90 поддельных сайтов и распространяли через них троян AsyncRAT . Страницы копировали загрузочные порталы OBS Studio, Bandicam, DNS Jumper, DS4Windows и других популярных приложений.
Как сообщает Kaspersky, преступники зарегистрировали домены на десяти языках и продвигали сайты в поисковой выдаче, поэтому жертвам даже не требовалось переходить по ссылкам из фишинговых писем. Вредоносная кампания началась примерно в октябре 2025 года и приостановилась к концу марта 2026 года, однако на момент публикации многие поддельные страницы оставались доступны.
Архив с установщиком содержал подписанный Microsoft исполняемый файл и вредоносную библиотеку. При запуске программа загружала библиотеку как штатный компонент. Такой приём называют DLL Sideloading . Одновременно устанавливалось настоящее приложение, поэтому пользователь не замечал подмены.
В фоновом режиме установщик разворачивал ScreenConnect, легальную программу для удалённого управления. Корпоративные системы защиты часто разрешают подобные инструменты, что помогало скрывать активность среди обычных административных подключений.
ScreenConnect запускал сценарии PowerShell, добавлял исключения в Microsoft Defender и отключал запросы контроля учётных записей. Затем вредоносный код расшифровывал AsyncRAT и внедрял троян в системный процесс RegAsm.exe. Задание MasterPackager.Updater повторно запускало цепочку каждые две минуты и сохраняло заражение после перезагрузки.
AsyncRAT позволял красть учётные данные и поддерживать длительный удалённый доступ к домашним и корпоративным системам. Специалисты связывают кампанию с массовым сбором паролей, которые могли использовать для дальнейших атак или продажи доступа, однако прямых подтверждений такой схемы источник не приводит.
Для снижения риска компаниям рекомендуют разрешать запуск только одобренных приложений, блокировать установку MSI-пакетов из неизвестных источников и отслеживать появление новых служб удалённого управления и заданий планировщика. Пользователям следует загружать программы с официальных сайтов, а защитным системам фильтровать соединения с незнакомыми доменами и IP-адресами.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Поиск бесплатной программы через интернет оказался достаточным, чтобы незаметно заразить компьютер, поскольку злоумышленники создали более 90 поддельных сайтов и распространяли через них троян AsyncRAT . Страницы копировали загрузочные порталы OBS Studio, Bandicam, DNS Jumper, DS4Windows и других популярных приложений.
Как сообщает Kaspersky, преступники зарегистрировали домены на десяти языках и продвигали сайты в поисковой выдаче, поэтому жертвам даже не требовалось переходить по ссылкам из фишинговых писем. Вредоносная кампания началась примерно в октябре 2025 года и приостановилась к концу марта 2026 года, однако на момент публикации многие поддельные страницы оставались доступны.
Архив с установщиком содержал подписанный Microsoft исполняемый файл и вредоносную библиотеку. При запуске программа загружала библиотеку как штатный компонент. Такой приём называют DLL Sideloading . Одновременно устанавливалось настоящее приложение, поэтому пользователь не замечал подмены.
В фоновом режиме установщик разворачивал ScreenConnect, легальную программу для удалённого управления. Корпоративные системы защиты часто разрешают подобные инструменты, что помогало скрывать активность среди обычных административных подключений.
ScreenConnect запускал сценарии PowerShell, добавлял исключения в Microsoft Defender и отключал запросы контроля учётных записей. Затем вредоносный код расшифровывал AsyncRAT и внедрял троян в системный процесс RegAsm.exe. Задание MasterPackager.Updater повторно запускало цепочку каждые две минуты и сохраняло заражение после перезагрузки.
AsyncRAT позволял красть учётные данные и поддерживать длительный удалённый доступ к домашним и корпоративным системам. Специалисты связывают кампанию с массовым сбором паролей, которые могли использовать для дальнейших атак или продажи доступа, однако прямых подтверждений такой схемы источник не приводит.
Для снижения риска компаниям рекомендуют разрешать запуск только одобренных приложений, блокировать установку MSI-пакетов из неизвестных источников и отслеживать появление новых служб удалённого управления и заданий планировщика. Пользователям следует загружать программы с официальных сайтов, а защитным системам фильтровать соединения с незнакомыми доменами и IP-адресами.
- Источник новости
- www.securitylab.ru