Она нацелена как на частных пользователей, так и на организации, использующие устройства под управлением Windows
«Лаборатория Касперского» обнаружила, что инструмент удалённого администрирования ScreenConnect распространяется через поддельные сайты, имитирующие официальные страницы известных программных продуктов. Всего эксперты компании выявили более 90 доменов на 10 языках, включая русский, а значит злоумышленники охватывают широкий круг жертв по всему миру. Кампания нацелена как на частных пользователей, так и на организации, использующие устройства под управлением Windows.
Как обнаружили кампанию. Эксперты «Лаборатории Касперского» анализировали инцидент, зафиксированный сервисом Kaspersky Managed Detection and Response (MDR), и обнаружили, что для установки и запуска вредоносного модуля AsyncRAT применялась легитимная утилита удалённого управления ScreenConnect. Детальный разбор этого инцидента позволил выяснить, что злоумышленники используют поддельные сайты для распространения установочных архивов, замаскированных под популярное ПО, такое как OBS Studio, DNS Jumper, DS4Windows, Glary Utilities и Bandicam. Атакующие применяют методы поисковой оптимизации, чтобы обеспечить своим ресурсам высокие позиции в результатах поиска. Пользователи, которые пытались скачать программный продукт, под его видом получали на устройство ScreenConnect. С его помощью атакующие устанавливают устойчивый доступ и развёртывают троянец с открытым исходным кодом AsyncRAT, позволяющий полностью контролировать скомпрометированное устройство. Число регистраций таких доменов достигло пика в феврале 2026 года, а в 2025 году те же злоумышленники использовали поддельные сайты для маскировки вредоносных установщиков под игры.
Заражение происходит через вредоносные архивы, содержащие легитимный подписанный файл Microsoft и библиотеку install.res.1033.dll. Она загружается при помощи техники DLL sideloading и разворачивает сервис ScreenConnect, ожидающий дальнейших инструкций от злоумышленников.
«Кампания нацелена как на обычных пользователей, которые скачивают бесплатные утилиты из интернета, так и на корпоративные сети, где инструменты удалённого доступа часто находятся в списке разрешённого ПО и обладают повышенными привилегиями. Она опасна тем, что может привести к масштабной краже учётных данных и получению несанкционированного доступа к системам. Украденная информация в дальнейшем может использоваться для перепродажи на теневых площадках», — комментирует Денис Кулик, эксперт по кибербезопасности в «Лаборатории Касперского».
Полный отчёт о данной кампании доступен на Securelist.
«Лаборатория Касперского» рекомендует организациям:
- внедрить строгий контроль за установкой программ (списки разрешённого ПО, блокировка установки MSI‑пакетов из непроверенных файлов);
- постоянно отслеживать появление новых сервисов удалённого администрирования и задач планировщика;
- фильтровать исходящий трафик к неизвестным доменам и IP‑адресам;
- информировать сотрудников об актуальных киберугрозах, например с помощью платформы Kaspersky Automated Security Awareness Platform;
- проверять подлинность источников программного обеспечения;
- дополнять существующие меры безопасности ручным обнаружением и глобальной аналитикой киберугроз с помощью таких решений, как Kaspersky Managed Detection and Response (MDR), которое обеспечивает круглосуточный мониторинг, обнаружение, расследование и оперативное реагирование на сложные кибератаки;
- вести мониторинг учётных данных на предмет признаков взлома, ведь взломанная учётная запись или доступ к системе могут стать каналом для дальнейших атак на организацию. Сервис Kaspersky Digital Footprint Intelligence обеспечивает непрерывный мониторинг источников в интернете и даркнете, что позволяет своевременно реагировать на потенциальные угрозы.
пользователям:
- скачивать программное обеспечение и мультимедийные файлы только из надёжных источников;
- использовать на всех устройствах надёжное защитное решение, эффективность которого подтверждена независимыми тестами;
- включить двухфакторную аутентификацию в приложениях для управления учётными записями и финансовых приложениях, а также регулярно проверять выписки на наличие несанкционированной активности;
- внимательно проверять формат URL-адресов и правильное написание названий организаций.