
Atacantes desconocidos están aprovechando la herramienta de acceso remoto ScreenConnect como método para implementar y ejecutar AsyncRAT.
Kaspersky Lab dijo que la actividad era parte de una campaña «a gran escala, multidominio y multilenguaje» para distribuir archivos de instalación maliciosos alojados en sitios web falsificados.
Estos instaladores pretenden ser software popular como OBS Studio, DNS Jumper, DS4Windows, Bandicam, etc. Una empresa rusa de ciberseguridad anunció que ha identificado más de 90 nombres de dominio localizados en 10 idiomas, incluidos inglés, ruso, chino, alemán, francés, español, portugués y árabe. Algunos de estos dominios se configuraron entre agosto de 2025 y marzo de 2026.
«El archivo malicioso incluye un binario legítimo install.exe firmado por Microsoft con una biblioteca maliciosa install.res.1033.dll», dijo el investigador de seguridad Denis Kulik. «Se carga en el dispositivo mediante la descarga de DLL e implementa el servicio ScreenConnect, que espera más instrucciones del actor de la amenaza».
«Esto permitió a los atacantes mantener el control sobre los puntos finales comprometidos, con víctimas que van desde usuarios individuales hasta organizaciones».
Cuando ScreenConnect está en funcionamiento, el servicio crea y ejecuta un script de PowerShell (‘Fj5NmEsp9EuKrun.ps1’). Este script configura las exclusiones de Microsoft Defender, deshabilita las solicitudes de Control de cuentas de usuario (UAC) y crea un archivo de Visual Basic Script (VBScript) llamado «installer_method3_stream.vbs».

Este script crea un conjunto de cinco archivos en el directorio «C:\Users\Public».
msgbox.txt Secret_bytes.txt 1.vb cap.ps1 script.vbs
El siguiente paso es activar la ejecución de «script.vbs». Este script es responsable de finalizar todos los procesos activos de PowerShell y ejecutar ‘cap.ps1’ en una ventana oculta. El objetivo principal del script de PowerShell es leer el contenido del archivo «secret_bytes.txt», extraer el módulo AsyncRAT y ejecutarlo mediante el proceso helloing.
Luego, el malware establece una conexión con un servidor remoto (‘mora1987.work(.)gd’), lo que permite al atacante tomar en secreto el control del sistema Windows infectado, robar datos confidenciales y monitorear la actividad del usuario grabando el contenido de la pantalla.
La persistencia se establece mediante una tarea programada (‘MasterPackager.Updater’) que se activa cada dos minutos para ejecutar ‘script.vbs’, lo que garantiza que todo el ataque se ejecute después de reiniciar el sistema.
«Los atacantes están disfrazando ScreenConnect como una utilidad popular y distribuyéndola a través de sitios web fraudulentos que imitan las páginas oficiales de los productos», dijo Kaspersky. «Los atacantes utilizan técnicas de optimización de motores de búsqueda para llevar estos sitios a la cima de los resultados de búsqueda en motores como Google y Bing».
Source link
