Касперский: сеть фальшивых загрузчиков AsyncRAT

Специалисты нашего партнера компании «Лаборатория Касперского» зафиксировали масштабную мошенническую схему, жертвами которой становились пользователи, ищущие бесплатные утилиты в интернете. Злоумышленники создали разветвленную сеть из более чем девяноста поддельных веб-ресурсов, полностью копирующих дизайн официальных страниц популярных программ — от стримингового OBS Studio до системных утилит вроде DNS Jumper. Чтобы заманить как можно больше людей, преступники перевели свои сайты на десять языков и активно продвигали их в поисковых системах, делая фишинговые письма излишними. По данным экспертов, волна атак захлестнула сеть в октябре прошлого года и начала стихать только к концу марта 2026-го, хотя многие опасные страницы до сих пор доступны по прежним адресам.

Суть атаки крылась в технике DLL Sideloading: скачанный архив содержал легитимный файл с подписью Microsoft и вредоносную библиотеку. При запуске установщика жертва видела обычный процесс инсталляции нужной программы, но в фоновом режиме система тихо получала доступ к удаленному управлению через легальный софт ScreenConnect. Поскольку корпоративные антивирусы часто доверяют таким инструментам, вредоносная активность оставалась незамеченной. Далее сценарии PowerShell отключали защитные механизмы Windows, включая Defender и запросы контроля учетных записей, после чего в системный процесс RegAsm.exe внедрялся троян-стилер AsyncRAT. Чтобы закрепиться в системе, злоумышленники создали задание в планировщике, которое каждые две минуты возобновляло цепочку заражения, что гарантировало сохранение контроля даже после перезагрузки ПК.

Главной целью киберпреступников, вероятно, являлся массовый сбор паролей и создание постоянного бэкдора для доступа к корпоративным сетям и домашним компьютерам. Полученные данные могли использоваться как для прямых атак, так и для перепродажи на теневых рынках, хотя исследователи подчеркивают, что прямых улик, связывающих кампанию с конкретными продажами, пока не обнаружено. Учитывая масштаб угрозы, специалисты настаивают на пересмотре политик безопасности: компаниям стоит строго ограничивать список разрешенных приложений, блокировать установку MSI-пакетов из непроверенных источников и внимательно следить за появлением новых служб удаленного доступа.

Выявленная кампания демонстрирует, что даже привычные и доверенные действия — поиск и установка программ — могут нести прямую угрозу корпоративной и частной информационной безопасности. Мошенники делают ставку на невнимательность и спешку пользователей, поэтому ключевым барьером остается дисциплина: скачивание софта исключительно с официальных сайтов и регулярный аудит системных процессов. Компаниям, в свою очередь, рекомендуется усилить мониторинг планировщика задач и служб удаленного администрирования, чтобы своевременно обнаруживать аномальную активность и предотвращать утечку данных.

Этот сайт использует файлы Cookies.

Нажимая ПРИНЯТЬ или продолжая просмотр сайта, Вы разрешаете их использование. Подробнее

ПРИНЯТЬ