
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Kampanie typu SEO poisoning pozostają jednym z najskuteczniejszych sposobów dostarczania złośliwego oprogramowania, ponieważ wykorzystują zaufanie użytkowników do wyników wyszukiwania oraz rozpoznawalnych marek oprogramowania. W opisywanym przypadku atakujący stworzyli rozbudowaną infrastrukturę fałszywych stron pobierania, które podszywały się pod legalne serwisy dystrybucji aplikacji i prowadziły do infekcji systemów Windows.
Kluczowym elementem tej kampanii było użycie narzędzia ScreenConnect jako etapu pośredniego, który otwierał drogę do wdrożenia AsyncRAT. Taki model działania łączy socjotechnikę, nadużycie legalnych komponentów i wieloetapowy łańcuch wykonania, co znacząco utrudnia wykrycie ataku.
W skrócie
- Atakujący wykorzystywali fałszywe strony pobierania promowane przez SEO poisoning.
- Podszywali się pod popularne programy, takie jak OBS Studio, DNS Jumper, DS4Windows czy Bandicam.
- Infekcja rozpoczynała się od DLL side-loading z użyciem legalnie podpisanego instalatora i złośliwej biblioteki DLL.
- ScreenConnect służył jako pośredni kanał zdalnego dostępu do systemu.
- Końcowym ładunkiem był AsyncRAT uruchamiany z użyciem process hollowing.
- Kampania wykorzystywała skrypty PowerShell i VBScript do osłabiania zabezpieczeń i utrzymania trwałości.
Kontekst / historia
Badacze powiązali kampanię z rozległą, wielodomenową i wielojęzyczną infrastrukturą, która obejmowała ponad 90 domen i co najmniej 10 wersji językowych. Aktywność była rozwijana od sierpnia 2025 do marca 2026, co wskazuje na dobrze zaplanowaną, długofalową operację wymierzoną zarówno w użytkowników indywidualnych, jak i środowiska organizacyjne.
Sukces tej kampanii wynikał z połączenia wysokiej widoczności fałszywych stron w wyszukiwarkach oraz wykorzystania nazw znanych aplikacji. Użytkownicy poszukujący legalnego oprogramowania trafiali na podrobione serwisy, pobierali złośliwe archiwa i uruchamiali infekcję, często nie zauważając żadnych oczywistych oznak oszustwa.
To kolejny przykład ewolucji współczesnych kampanii malware delivery. Atakujący nie polegają już wyłącznie na prostych loaderach, ale łączą techniki marketingowego pozycjonowania, legalne komponenty systemowe, narzędzia zdalnej administracji i zaawansowane mechanizmy ukrywania kodu.
Analiza techniczna
Łańcuch infekcji zaczynał się od pobrania archiwum ze strony podszywającej się pod oficjalny portal pobierania oprogramowania. W paczce znajdował się legalny, podpisany plik instalacyjny install.exe oraz złośliwa biblioteka install.res.1033.dll. Po uruchomieniu instalatora dochodziło do załadowania biblioteki metodą DLL side-loading, co umożliwiało wykonanie złośliwego kodu pod pozorem normalnej instalacji.
Następnie złośliwa biblioteka instalowała usługę ScreenConnect, zapewniając operatorom zdalny dostęp do stacji roboczej. Po ustanowieniu tego kanału uruchamiany był skrypt PowerShell Fj5NmEsp9EuKrun.ps1, którego zadaniem było przygotowanie środowiska do dalszej kompromitacji. Obejmowało to dodawanie wyjątków do Microsoft Defender, ograniczanie skuteczności mechanizmów ochronnych oraz wyłączanie monitów UAC.
Kolejny etap obejmował tworzenie plików pomocniczych w publicznych katalogach systemu Windows, między innymi msgbox.txt, secret_bytes.txt, 1.vb, cap.ps1 oraz script.vbs. W dalszej części wykonywany był skrypt script.vbs, który kończył aktywne procesy PowerShell i uruchamiał cap.ps1 w ukrytym oknie. Taki podział aktywności na wiele warstw skryptowych utrudnia analizę behawioralną i może ograniczać skuteczność prostych reguł detekcji.
Końcowy ładunek był wydobywany z pliku secret_bytes.txt. Zawarty w nim AsyncRAT uruchamiano z wykorzystaniem process hollowing, czyli techniki podmiany pamięci legalnego procesu w celu ukrycia właściwego kodu malware. Po aktywacji zagrożenie nawiązywało łączność z infrastrukturą C2, umożliwiając zdalne sterowanie systemem, eksfiltrację danych oraz monitorowanie aktywności użytkownika, w tym przechwytywanie obrazu ekranu.
Dla utrzymania trwałości wykorzystywano zaplanowane zadanie MasterPackager.Updater, uruchamiane co dwie minuty. Mechanizm ten zapewniał ponowne wykonanie skryptu odpowiedzialnego za kolejne etapy infekcji, nawet po restarcie systemu lub częściowym zakłóceniu działania łańcucha ataku.
Konsekwencje / ryzyko
Ryzyko związane z tą kampanią jest wysokie, ponieważ wektor wejścia bazuje na codziennych zachowaniach użytkowników. Osoby pobierające popularne narzędzia często ufają wynikom wyszukiwania i nie weryfikują dokładnie domeny, z której pochodzi instalator. To sprawia, że kampania może osiągać dużą skalę przy relatywnie niskim koszcie operacyjnym po stronie atakujących.
Wykorzystanie ScreenConnect jako etapu pośredniego dodatkowo komplikuje analizę incydentu. W wielu organizacjach narzędzia RMM i zdalnej administracji są wykorzystywane legalnie, dlatego ich obecność nie zawsze wzbudza natychmiastowe podejrzenia. Atakujący korzystają z tego efektu, aby ukryć złośliwą aktywność wśród działań przypominających standardową administrację.
AsyncRAT daje operatorowi szerokie możliwości, w tym zdalne wykonywanie poleceń, kradzież danych, nadzór nad systemem, a potencjalnie także dalszy ruch lateralny i wdrażanie kolejnych rodzin malware. W środowisku firmowym może to prowadzić do utraty poświadczeń, wycieku danych, zakłócenia ciągłości działania oraz obejścia części zabezpieczeń opartych wyłącznie na reputacji plików lub znanych wskaźnikach kompromitacji.
Rekomendacje
Organizacje powinny traktować wyszukiwarki internetowe oraz sponsorowane wyniki jako potencjalny wektor dostarczania malware, szczególnie gdy chodzi o pobieranie popularnych aplikacji użytkowych, multimedialnych i administracyjnych. Najbezpieczniejszym podejściem jest wdrożenie polityki pobierania oprogramowania wyłącznie z zatwierdzonych repozytoriów, oficjalnych portali producentów lub wewnętrznych katalogów aplikacji.
Z perspektywy detekcji warto monitorować następujące zdarzenia:
- uruchamianie legalnych instalatorów ładujących nietypowe biblioteki DLL,
- tworzenie i instalowanie usług ScreenConnect poza autoryzowanym procesem wdrożeniowym,
- modyfikacje wyjątków Microsoft Defender,
- próby wyłączania lub obchodzenia UAC,
- nietypowe sekwencje uruchomień
powershell.exeiwscript.exe, - tworzenie zadań harmonogramu o wysokiej częstotliwości,
- ślady process hollowing oraz anomalie w drzewach procesów.
W warstwie prewencyjnej istotne są również reguły Application Control, ograniczenie wykonywania skryptów z katalogów publicznych, blokowanie nieautoryzowanych narzędzi RMM oraz analiza ruchu wychodzącego do nieznanych domen i serwerów C2. W środowiskach o podwyższonych wymaganiach bezpieczeństwa uzasadnione jest także stosowanie filtrowania DNS, kontroli reputacyjnej domen pobierania oraz izolacji przeglądarki.
Jeżeli organizacja korzysta z ScreenConnect, powinna prowadzić ścisły rejestr autoryzowanych instancji, serwerów oraz ścieżek instalacji. Każde odstępstwo od standardowego procesu wdrożeniowego powinno być analizowane pod kątem możliwego nadużycia legalnego narzędzia do celów ofensywnych.
Podsumowanie
Opisana kampania pokazuje, że granica między legalnym oprogramowaniem administracyjnym a narzędziem użytym ofensywnie staje się coraz bardziej płynna. Połączenie SEO poisoning, fałszywych stron pobierania, DLL side-loading, skryptów PowerShell i VBScript oraz process hollowing pozwoliło atakującym skutecznie wdrażać AsyncRAT i utrzymywać trwały dostęp do systemów ofiar.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że skuteczna obrona przed nowoczesnymi kampaniami malware wymaga korelacji telemetrii z warstwy endpoint, tożsamości, DNS i zachowania procesów. Sama reputacja plików lub blokowanie pojedynczych wskaźników nie wystarcza, gdy przeciwnik łączy socjotechnikę z legalnymi komponentami i wieloetapowym wykonaniem.
Źródła
- The Hacker News — SEO-Poisoned Software Sites Abuse ScreenConnect to Deploy AsyncRAT — https://thehackernews.com/2026/07/seo-poisoned-software-sites-abuse.html
- Securelist — The SOC Files: ScreenConnect masked as freeware. An inside look at a large-scale campaign — https://securelist.com/tr/the-soc-files-screenconnect-campaign-with-asyncrat/120472/
- MITRE ATT&CK — Process Hollowing (T1055.012) — https://attack.mitre.org/techniques/T1055/012/