🔥 Fique por dentro das novidades mais quentes do momento! 🔥

Confira agora e compartilhe com seus amigos!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Atores de ameaças desconhecidos estão aproveitando a ferramenta de acesso remoto ScreenConnect como uma forma de implantar e executar o AsyncRAT.

A Kaspersky disse que a atividade faz parte de uma campanha “massiva, com vários domínios e vários idiomas” que distribui arquivos de instaladores maliciosos hospedados em sites falsificados.

Esses instaladores se disfarçam de softwares populares como OBS Studio, DNS Jumper, DS4Windows e Bandicam, entre outros. A empresa russa de segurança cibernética disse ter identificado mais de 90 nomes de domínio localizados em 10 idiomas, incluindo inglês, russo, chinês, alemão, francês, espanhol, português e árabe. Alguns desses domínios foram criados entre agosto de 2025 e março de 2026.

“Os arquivos maliciosos agrupam um binário install.exe legítimo e assinado pela Microsoft junto com uma biblioteca install.res.1033.dll desonesta”, disse o pesquisador de segurança Denis Kulik. “Ele é carregado no dispositivo por meio de carregamento lateral de DLL e implanta o serviço ScreenConnect, que aguarda mais instruções dos atores da ameaça.”

“Isso permitiu que os invasores mantivessem o controle sobre os endpoints comprometidos, com vítimas variando de usuários individuais a organizações”.

Depois que o ScreenConnect estiver instalado e funcionando, o serviço criará e executará um script do PowerShell ("Fj5NmEsp9EuKrun.ps1"), que configura as exclusões do Microsoft Defender, desabilita os prompts do Controle de Conta de Usuário (UAC) e, em seguida, cria um arquivo Visual Basic Script (VBScript) chamado "installer_method3_stream.vbs".

O script, por sua vez, cria um conjunto de cinco arquivos no "diretório C:\Users\Public" -

msgbox.txt

secret_bytes.txt

1.vb

cap.ps1

script.vbs

Na próxima etapa, ele aciona a execução de “script.vbs”, um script responsável por encerrar todos os processos ativos do PowerShell e executar “cap.ps1” em uma janela oculta. O objetivo principal do script do PowerShell é ler o conteúdo do arquivo "secret_bytes.txt", extrair dele o módulo AsyncRAT e executá-lo usando o esvaziamento do processo.

O malware então estabelece uma conexão com um servidor remoto ("mora1987.work[.]gd"), permitindo que o agente da ameaça controle secretamente os sistemas Windows infectados, roube dados confidenciais e monitore a atividade do usuário gravando o conteúdo da tela.

A persistência é estabelecida por meio de uma tarefa agendada (“MasterPackager.Updater”) que é ativada a cada dois minutos para executar “script.vbs”, garantindo que todo o ataque seja executado após a reinicialização do sistema.

“O agente da ameaça disfarça o ScreenConnect como utilitários populares e o distribui através de sites fraudulentos que imitam páginas oficiais de produtos”, disse Kaspersky. “Os invasores aproveitam técnicas de otimização de mecanismos de busca para levar esses sites ao topo dos resultados de busca em mecanismos como Google e Bing”.

Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #sites #de #software #envenenados #por #seo #abusam #do #screenconnect #para #implantar #asyncrat
🔔 Siga-nos para não perder nenhuma atualização!

Post a Comment