Специалисты «Лаборатории Касперского» выявили, что программа удалённого администрирования ScreenConnect распространяется через фальшивые сайты, которые копируют официальные страницы известных программ. В ходе исследования эксперты нашли свыше 90 доменов на десяти языках, в том числе на русском, что указывает на широкий охват потенциальных жертв по всему миру. Эта атака направлена как на обычных пользователей, так и на компании, работающие на устройствах с Windows.
Как была обнаружена атака. Сотрудники «Лаборатории Касперского» изучали инцидент, зафиксированный сервисом Kaspersky Managed Detection and Response (MDR), и установили, что для установки и активации вредоносного модуля AsyncRAT использовалась легитимная утилита удалённого управления ScreenConnect. Подробный анализ этого случая показал, что злоумышленники применяют поддельные веб-ресурсы для распространения установочных пакетов, замаскированных под популярное ПО, включая OBS Studio, DNS Jumper, DS4Windows, Glary Utilities и Bandicam. Для продвижения своих сайтов в поисковой выдаче атакующие используют методы SEO. Пользователи, желавшие загрузить нужную программу, вместо неё получали ScreenConnect. С помощью этой утилиты злоумышленники обеспечивают себе постоянный доступ к системе и развёртывают троян AsyncRAT с открытым исходным кодом, который даёт полный контроль над заражённым устройством. Пик регистрации подобных доменов пришёлся на февраль 2026 года, а в 2025 году те же преступники маскировали вредоносные установщики под игры.
Процесс заражения начинается с вредоносных архивов, в которых находятся легитимный подписанный файл Microsoft и библиотека install.res.1033.dll. Эта библиотека активируется через технику DLL sideloading и запускает сервис ScreenConnect, который ожидает команд от атакующих.
«Эта кампания нацелена как на рядовых пользователей, скачивающих бесплатные утилиты из сети, так и на корпоративные системы, где инструменты удалённого доступа часто входят в список разрешённого ПО и имеют повышенные права. Угроза серьезна, так как может привести к массовой краже учётных данных и несанкционированному доступу к системам. Похищенная информация впоследствии может быть перепродана на теневых форумах», — отметил Денис Кулик, эксперт по кибербезопасности «Лаборатории Касперского».
Подробный отчёт об этой кампании опубликован на Securelist.
«Лаборатория Касперского» советует компаниям: установить жёсткие правила для инсталляции софта (использовать белые списки разрешённых приложений, запрещать запуск MSI‑пакетов из непроверенных источников); регулярно контролировать появление новых служб удалённого управления и задач в планировщике; ограничивать исходящий трафик к незнакомым доменам и IP; обучать персонал современным киберугрозам, например, через платформу Kaspersky Automated Security Awareness Platform; проверять подлинность источников программ; усиливать текущие меры защиты ручным поиском угроз и глобальной аналитикой с помощью инструментов вроде Kaspersky Managed Detection and Response (MDR), который предлагает круглосуточный мониторинг, выявление, анализ и быстрое реагирование на сложные кибератаки; отслеживать учётные данные на предмет компрометации, так как взломанный аккаунт или доступ к системе может открыть путь для последующих атак на организацию. Сервис Kaspersky Digital Footprint Intelligence обеспечивает постоянный мониторинг интернет-источников и даркнета, что помогает своевременно реагировать на возможные угрозы; частным лицам: загружать программы и медиафайлы исключительно из проверенных источников; использовать на всех устройствах надёжное защитное ПО, чья эффективность подтверждена независимыми тестами; активировать двухфакторную аутентификацию в приложениях для управления аккаунтами и финансах, а также периодически проверять выписки на предмет подозрительных операций; тщательно проверять формат URL-адресов и корректное написание названий компаний.