Kampania AsyncRAT przez SEO poisoning: fałszywe strony z oprogramowaniem wykorzystują ScreenConnect - Security Bez Tabu

Kampania AsyncRAT przez SEO poisoning: fałszywe strony z oprogramowaniem wykorzystują ScreenConnect

Cybersecurity news

Wprowadzenie do problemu / definicja

SEO poisoning, czyli zatruwanie wyników wyszukiwania, to technika polegająca na pozycjonowaniu złośliwych lub podszywających się stron tak, aby pojawiały się wysoko w wynikach wyszukiwania. W opisanej kampanii mechanizm ten posłużył do dystrybucji fałszywych instalatorów popularnych aplikacji dla systemu Windows, których celem było przejęcie kontroli nad urządzeniem ofiary.

Atakujący wykorzystywali witryny imitujące oficjalne strony pobierania oprogramowania, a następnie wdrażali legalne narzędzie zdalnego dostępu ScreenConnect oraz złośliwe oprogramowanie AsyncRAT. Taka kombinacja zwiększa skuteczność ataku i utrudnia wykrycie incydentu przez zespoły bezpieczeństwa.

W skrócie

Badacze opisali rozbudowaną kampanię obejmującą ponad 90 domen i co najmniej 10 wersji językowych. Fałszywe strony podszywały się pod znane programy, takie jak OBS Studio, DNS Jumper, DS4Windows czy Bandicam.

  • Ofiara pobierała spreparowane archiwum z fałszywej strony.
  • Infekcja wykorzystywała technikę DLL side-loading z użyciem podpisanego pliku Microsoftu.
  • Na urządzeniu instalowano ScreenConnect jako mechanizm zdalnego dostępu.
  • W kolejnym etapie uruchamiany był AsyncRAT z użyciem process hollowing.
  • Kampania była przygotowana do działania na wielu rynkach i w różnych językach.

Kontekst / historia

Dystrybucja malware przez fałszywe strony pobierania nie jest nowym zjawiskiem, jednak obecna operacja pokazuje wyraźny wzrost dojrzałości po stronie cyberprzestępców. Zamiast ograniczać się do spamu lub klasycznych wiadomości phishingowych, operatorzy przygotowali infrastrukturę internetową zoptymalizowaną pod wyszukiwarki, aby przechwytywać użytkowników aktywnie szukających legalnego oprogramowania.

Analizowana infrastruktura miała obejmować dziesiątki domen zakładanych od sierpnia 2025 do marca 2026 roku. Lokalne wersje językowe zwiększały wiarygodność stron i pozwalały skuteczniej docierać do ofiar w różnych regionach. To wpisuje się w szerszy trend nadużywania zaufanych narzędzi administracyjnych oraz komponentów systemowych w celu ukrywania aktywności po kompromitacji.

Analiza techniczna

Łańcuch infekcji rozpoczynał się od pobrania złośliwego archiwum ze strony udającej oficjalny serwis producenta oprogramowania. W paczce znajdował się legalny, podpisany plik install.exe oraz złośliwa biblioteka install.res.1033.dll. Taki zestaw umożliwiał przeprowadzenie ataku metodą DLL side-loading, czyli wymuszenie załadowania podstawionej biblioteki przez zaufany proces.

Po uruchomieniu instalatora następowało wdrożenie usługi ScreenConnect. Samo narzędzie jest legalnym rozwiązaniem do zdalnej administracji, jednak w tym przypadku posłużyło jako element utrzymania dostępu i post-exploitation. Wykorzystanie zaufanego oprogramowania utrudnia wykrywanie oparte wyłącznie na reputacji plików lub prostych listach blokad.

Kolejna faza obejmowała uruchomienie skryptu PowerShell o nazwie Fj5NmEsp9EuKrun.ps1. Według analizy skrypt osłabiał lokalne zabezpieczenia, m.in. przez dodawanie wyjątków do Microsoft Defender oraz wyłączanie monitów UAC. Następnie tworzony był skrypt VBScript installer_method3_stream.vbs, a w katalogu C:\Users\Public zapisywano dodatkowe pliki pomocnicze.

  • msgbox.txt
  • secret_bytes.txt
  • 1.vb
  • cap.ps1
  • script.vbs

W dalszej części wykonywany był script.vbs, którego zadaniem było zakończenie aktywnych procesów PowerShell i uruchomienie cap.ps1 w ukrytym oknie. Główna logika malware opierała się na odczycie danych z secret_bytes.txt, wyodrębnieniu ładunku AsyncRAT i uruchomieniu go z użyciem process hollowing. Technika ta pozwala osadzić szkodliwy kod wewnątrz legalnego procesu, co utrudnia analizę behawioralną i obniża skuteczność części mechanizmów EDR oraz AV.

Po wdrożeniu AsyncRAT nawiązywał połączenie z infrastrukturą sterującą, umożliwiając operatorowi wykonywanie poleceń, kradzież danych, monitorowanie aktywności użytkownika oraz rejestrowanie zawartości ekranu. Trwałość zapewniało zadanie harmonogramu MasterPackager.Updater, uruchamiane co dwie minuty w celu ponownego wykonania script.vbs.

Konsekwencje / ryzyko

Ryzyko związane z tą kampanią jest wysokie zarówno dla użytkowników indywidualnych, jak i dla organizacji. Szczególnie niebezpieczny jest sam wektor wejścia, ponieważ to ofiara inicjuje pobranie pliku, przekonana, że korzysta z legalnego źródła. W praktyce oznacza to, że tradycyjne szkolenia skupione głównie na załącznikach e-mail mogą nie być wystarczające.

  • uzyskanie trwałego zdalnego dostępu do stacji roboczej,
  • kradzież danych uwierzytelniających i innych informacji wrażliwych,
  • obchodzenie mechanizmów ochronnych systemu Windows,
  • ukrywanie aktywności malware dzięki legalnym narzędziom i process hollowing,
  • możliwość dalszego ruchu bocznego i eskalacji incydentu w środowisku firmowym.

Dodatkowym problemem jest użycie legalnego oprogramowania administracyjnego. W wielu organizacjach narzędzia zdalnego wsparcia są normalnym elementem pracy, dlatego ich obecność nie zawsze jest natychmiast traktowana jako anomalia. To zwiększa szansę na dłuższe pozostanie atakujących w środowisku.

Rekomendacje

Organizacje powinny traktować podobne kampanie jako połączenie zagrożenia webowego, malware i nadużycia legalnych narzędzi. Skuteczna obrona wymaga więc wielowarstwowego podejścia obejmującego zarówno prewencję, jak i detekcję.

  • ograniczyć pobieranie oprogramowania wyłącznie do zatwierdzonych repozytoriów i oficjalnych kanałów,
  • wdrożyć filtrowanie DNS oraz ochronę webową blokującą nowe i podejrzane domeny,
  • monitorować użycie narzędzi RMM i zdalnego dostępu poza standardowym procesem wdrożeniowym,
  • wykrywać anomalie związane z PowerShell, VBScript i tworzeniem zadań harmonogramu,
  • włączyć reguły detekcji dla DLL side-loading i process hollowing,
  • monitorować zmiany w ustawieniach Microsoft Defender i UAC,
  • prowadzić inwentaryzację legalnych narzędzi administracyjnych i blokować nieautoryzowane instalacje,
  • edukować użytkowników w zakresie weryfikacji domeny i integralności pobieranych plików.

Z perspektywy SOC szczególnie wartościowe może być korelowanie zdarzeń obejmujących pobranie archiwum z Internetu, uruchomienie podpisanego instalatora z nietypowej lokalizacji, załadowanie biblioteki DLL z tego samego katalogu, instalację narzędzia zdalnego dostępu, wykonanie skryptów administracyjnych oraz utworzenie zadań harmonogramu o wysokiej częstotliwości. Taki łańcuch aktywności może być silnym wskaźnikiem kompromitacji.

Podsumowanie

Opisana kampania potwierdza, że SEO poisoning pozostaje skuteczną metodą dystrybucji malware, zwłaszcza gdy jest łączone z podszywaniem się pod popularne oprogramowanie i nadużyciem zaufanych narzędzi administracyjnych. Połączenie DLL side-loading, osłabiania zabezpieczeń, process hollowing oraz trwałości przez harmonogram zadań wskazuje na dobrze przygotowany i trudniejszy do wykrycia łańcuch infekcji.

Dla zespołów bezpieczeństwa najważniejszym wnioskiem jest konieczność rozszerzenia monitoringu o legalne narzędzia zdalnego dostępu, skrypty administracyjne oraz nietypowe ścieżki instalacji aplikacji pobieranych z sieci. To właśnie na styku zwykłej aktywności użytkownika i legalnych komponentów coraz częściej ukrywają się nowoczesne kampanie malware.

Źródła

  1. The Hacker News — SEO-Poisoned Software Sites Abuse ScreenConnect to Deploy AsyncRAT — https://thehackernews.com/2026/07/seo-poisoned-software-sites-abuse.html
  2. MITRE ATT&CK — Process Hollowing (T1055.012) — https://attack.mitre.org/techniques/T1055/012/
  3. ConnectWise — ScreenConnect Product Overview — https://screenconnect.connectwise.com/