Giriş
Son zamanlarda, bilinmeyen tehdit aktörleri, uzaktan erişim aracı olan ScreenConnect’i kullanarak AsyncRAT kötü amaçlı yazılımını dağıtma girişiminde bulundular. Bu durum, artan siber tehditler ve kullanıcıların güvenliği açısından önemli bir endişe kaynağı oluşturuyor.
Saldırı Nasıl Çalışıyor?
Kaspersky’ye göre, bu saldırı “büyüyen, çok alanlı ve çok dilli” bir kampanyanın parçasıdır ve kötü amaçlı yükleyiciler, sahte web sitelerinde barındırılmaktadır. Bu yükleyiciler, aşağıdaki popüler yazılımlar gibi görünmekte:
- OBS Studio
- DNS Jumper
- DS4Windows
- Bandicam
Araştırmalar, 2025 ile 2026 arasında düzenlenen 90’dan fazla alan adı kullanıldığını ve bu alanların İngilizce, Rusça, Çince, Almanca, Fransızca, İspanyolca, Portekizce ve Arapça gibi dillerde yerelleştirildiğini ortaya çıkardı.
Kötü amaçlı arşivler, Microsoft install.exe dosyasını ve install.res.1033.dll kütüphanesini içeriyor. Saldırganlar, DLL yan yüklemesi ile bu dosyayı cihazda çalıştırarak ScreenConnect hizmetini başlatıyorlar ve buradan daha fazla talimat alıyorlar.
Etkilenen Sistemler
Saldırı, bireysel kullanıcılar ve organizasyonlar da dahil olmak üzere birçok farklı hedefi etkilemektedir. ScreenConnect etkinleştirildiğinde, aşağıdaki gibi bir PowerShell scripti (“Fj5NmEsp9EuKrun.ps1”) oluşturulmakta:
- Microsoft Defender dışlamalarını yapılandırıyor
- Kullanıcı Hesabı Kontrolü (UAC) istemlerini devre dışı bırakıyor
- Bir Visual Basic Script (VBScript) dosyası (“installer_method3_stream.vbs”) oluşturuyor
Bu script, “C:UsersPublic” dizininde şu dosyaları oluşturuyor:
- msgbox.txt
- secret_bytes.txt
- 1.vb
- cap.ps1
- script.vbs
Çözüm ve Korunma
Kötü amaçlı yazılım daha sonra “script.vbs” dosyasını çalıştırarak tüm aktif PowerShell işlemlerini sonlandırmakta ve “cap.ps1” dosyasını gizli bir pencerede çalıştırmaktadır. PowerShell scriptinin temel amacı, “secret_bytes.txt” dosyasını okumak, AsyncRAT modülünü çıkarmak ve process hollowing tekniği kullanarak çalıştırmaktır.
Malware, “mora1987.work[.]gd” adresine bağlanarak, tehdit aktörlerinin bulaşmış Windows sistemlerini kontrol etmelerine, hassas verileri çalmalarına ve kullanıcı aktivitelerini izlemelerine olanak tanıyor. Saldırganlar ayrıca, “MasterPackager.Updater” adlı planlanmış bir görev oluşturarak bu scriptin her iki dakikada bir çalışmasını sağlamakta.
Aksiyon
Kullanıcıların ve organizasyonların aşağıdaki adımları atması önemlidir:
- Tüm yazılımları güncelleyin.
- Sahte web sitelerine karşı dikkatli olun ve yalnızca resmi kaynaklardan yazılım indirin.
- Güvenlik duvarınızı gözden geçirerek şüpheli bağlantıları kapatın.
- Antivirüs ve zararlı yazılım tespit araçlarını güncel tutun.
Bu önlemler, siber saldırılara karşı daha etkili bir koruma sağlayacaktır.


