🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Atores de ameaças desconhecidos estão aproveitando a ferramenta de acesso remoto ScreenConnect como uma forma de implantar e executar o AsyncRAT.
A Kaspersky disse que a atividade faz parte de uma campanha “massiva, com vários domÃnios e vários idiomas” que distribui arquivos de instaladores maliciosos hospedados em sites falsificados.
Esses instaladores se disfarçam de softwares populares como OBS Studio, DNS Jumper, DS4Windows e Bandicam, entre outros. A empresa russa de segurança cibernética disse ter identificado mais de 90 nomes de domÃnio localizados em 10 idiomas, incluindo inglês, russo, chinês, alemão, francês, espanhol, português e árabe. Alguns desses domÃnios foram criados entre agosto de 2025 e março de 2026.
“Os arquivos maliciosos agrupam um binário install.exe legÃtimo e assinado pela Microsoft junto com uma biblioteca install.res.1033.dll desonesta”, disse o pesquisador de segurança Denis Kulik. “Ele é carregado no dispositivo por meio de carregamento lateral de DLL e implanta o serviço ScreenConnect, que aguarda mais instruções dos atores da ameaça.”
“Isso permitiu que os invasores mantivessem o controle sobre os endpoints comprometidos, com vÃtimas variando de usuários individuais a organizações”.
Depois que o ScreenConnect estiver instalado e funcionando, o serviço criará e executará um script do PowerShell ("Fj5NmEsp9EuKrun.ps1"), que configura as exclusões do Microsoft Defender, desabilita os prompts do Controle de Conta de Usuário (UAC) e, em seguida, cria um arquivo Visual Basic Script (VBScript) chamado "installer_method3_stream.vbs".
O script, por sua vez, cria um conjunto de cinco arquivos no "diretório C:\Users\Public" -
msgbox.txt
secret_bytes.txt
1.vb
cap.ps1
script.vbs
Na próxima etapa, ele aciona a execução de “script.vbs”, um script responsável por encerrar todos os processos ativos do PowerShell e executar “cap.ps1” em uma janela oculta. O objetivo principal do script do PowerShell é ler o conteúdo do arquivo "secret_bytes.txt", extrair dele o módulo AsyncRAT e executá-lo usando o esvaziamento do processo.
O malware então estabelece uma conexão com um servidor remoto ("mora1987.work[.]gd"), permitindo que o agente da ameaça controle secretamente os sistemas Windows infectados, roube dados confidenciais e monitore a atividade do usuário gravando o conteúdo da tela.
A persistência é estabelecida por meio de uma tarefa agendada (“MasterPackager.Updater”) que é ativada a cada dois minutos para executar “script.vbs”, garantindo que todo o ataque seja executado após a reinicialização do sistema.
“O agente da ameaça disfarça o ScreenConnect como utilitários populares e o distribui através de sites fraudulentos que imitam páginas oficiais de produtos”, disse Kaspersky. “Os invasores aproveitam técnicas de otimização de mecanismos de busca para levar esses sites ao topo dos resultados de busca em mecanismos como Google e Bing”.
A Kaspersky disse que a atividade faz parte de uma campanha “massiva, com vários domÃnios e vários idiomas” que distribui arquivos de instaladores maliciosos hospedados em sites falsificados.
Esses instaladores se disfarçam de softwares populares como OBS Studio, DNS Jumper, DS4Windows e Bandicam, entre outros. A empresa russa de segurança cibernética disse ter identificado mais de 90 nomes de domÃnio localizados em 10 idiomas, incluindo inglês, russo, chinês, alemão, francês, espanhol, português e árabe. Alguns desses domÃnios foram criados entre agosto de 2025 e março de 2026.
“Os arquivos maliciosos agrupam um binário install.exe legÃtimo e assinado pela Microsoft junto com uma biblioteca install.res.1033.dll desonesta”, disse o pesquisador de segurança Denis Kulik. “Ele é carregado no dispositivo por meio de carregamento lateral de DLL e implanta o serviço ScreenConnect, que aguarda mais instruções dos atores da ameaça.”
“Isso permitiu que os invasores mantivessem o controle sobre os endpoints comprometidos, com vÃtimas variando de usuários individuais a organizações”.
Depois que o ScreenConnect estiver instalado e funcionando, o serviço criará e executará um script do PowerShell ("Fj5NmEsp9EuKrun.ps1"), que configura as exclusões do Microsoft Defender, desabilita os prompts do Controle de Conta de Usuário (UAC) e, em seguida, cria um arquivo Visual Basic Script (VBScript) chamado "installer_method3_stream.vbs".
O script, por sua vez, cria um conjunto de cinco arquivos no "diretório C:\Users\Public" -
msgbox.txt
secret_bytes.txt
1.vb
cap.ps1
script.vbs
Na próxima etapa, ele aciona a execução de “script.vbs”, um script responsável por encerrar todos os processos ativos do PowerShell e executar “cap.ps1” em uma janela oculta. O objetivo principal do script do PowerShell é ler o conteúdo do arquivo "secret_bytes.txt", extrair dele o módulo AsyncRAT e executá-lo usando o esvaziamento do processo.
O malware então estabelece uma conexão com um servidor remoto ("mora1987.work[.]gd"), permitindo que o agente da ameaça controle secretamente os sistemas Windows infectados, roube dados confidenciais e monitore a atividade do usuário gravando o conteúdo da tela.
A persistência é estabelecida por meio de uma tarefa agendada (“MasterPackager.Updater”) que é ativada a cada dois minutos para executar “script.vbs”, garantindo que todo o ataque seja executado após a reinicialização do sistema.
“O agente da ameaça disfarça o ScreenConnect como utilitários populares e o distribui através de sites fraudulentos que imitam páginas oficiais de produtos”, disse Kaspersky. “Os invasores aproveitam técnicas de otimização de mecanismos de busca para levar esses sites ao topo dos resultados de busca em mecanismos como Google e Bing”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #sites #de #software #envenenados #por #seo #abusam #do #screenconnect #para #implantar #asyncrat
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário