← Voltar ao blog

Sites Envenenados por SEO Distribuem AsyncRAT via ScreenConnect em Campanha Massiva

Atores de ameaça estão explorando técnicas de otimização de mecanismos de busca para direcionar usuários a sites falsos de download de software que hospedam instaladores maliciosos. A campanha implanta AsyncRAT através do ScreenConnect, direcionando aplicativos populares como OBS Studio e Bandicam em múltiplos idiomas e domínios.

TL;DR

  • Atacantes usam envenenamento de SEO para classificar sites de software falsificados em resultados de busca, distribuindo instaladores maliciosos mascarados como ferramentas legítimas
  • Ferramenta de acesso remoto ScreenConnect é abusada como mecanismo de entrega para implantação de malware AsyncRAT
  • Campanha abrange múltiplos domínios e idiomas, sugerindo operação coordenada e em larga escala direcionando usuários globais
  • Imitações de software afetadas incluem OBS Studio, DNS Jumper, DS4Windows e Bandicam
  • Usuários que baixam software devem verificar autenticidade através de sites oficiais de fornecedores e validar checksums antes da execução

Uma campanha de ameaça coordenada está explorando técnicas de otimização de mecanismos de busca para distribuir instaladores de software carregados de malware em múltiplos domínios e idiomas. Pesquisadores da Kaspersky identificaram a operação como um ataque sofisticado à cadeia de suprimentos que aproveita ferramentas legítimas de acesso remoto para estabelecer persistência e executar cargas maliciosas.

Os atacantes criam sites réplica convincentes para aplicativos populares, depois usam manipulação de SEO para aumentar a visibilidade nos resultados de busca. Usuários que procuram por ferramentas comuns como OBS Studio ou Bandicam podem inadvertidamente baixar instaladores comprometidos que implantam AsyncRAT, um trojan de acesso remoto, via ScreenConnect.

Metodologia de Ataque e Escala

  • Atores de ameaça registram múltiplos domínios hospedando páginas falsas de download de software otimizadas para classificação em mecanismos de busca
  • Arquivos de instaladores maliciosos imitam software legítimo incluindo OBS Studio, DNS Jumper, DS4Windows e Bandicam
  • Campanha opera em múltiplos idiomas e regiões geográficas, indicando grupo de ameaça organizado e bem-financiado
  • Kaspersky classificou a operação como 'massiva' em escopo, sugerindo milhares de vítimas potenciais

Cadeia Técnica de Entrega

  • ScreenConnect, uma ferramenta legítima de acesso remoto, é abusada como mecanismo inicial de acesso e execução
  • Malware AsyncRAT é implantado pós-comprometimento, fornecendo aos atacantes capacidades de execução remota de código e persistência
  • Cadeia de infecção em dois estágios permite que atacantes mantenham flexibilidade na entrega de carga e táticas de evasão
  • Uso de ferramentas legítimas complica a detecção e pode contornar soluções de segurança de endpoint que dependem de bloqueio baseado em assinatura

Recomendações Defensivas

  • Baixe software exclusivamente de sites oficiais de fornecedores ou canais de distribuição verificados, nunca apenas de resultados de busca
  • Verifique a integridade do arquivo usando hashes criptográficos publicados antes de executar instaladores
  • Monitore atividade suspeita do ScreenConnect e instalações não autorizadas de ferramentas de acesso remoto em endpoints
  • Implemente lista de permissões de aplicativos e políticas de execução para restringir ferramentas de acesso remoto não autorizadas
  • Eduque usuários sobre riscos de ataques à cadeia de suprimentos e a importância de verificar a autenticidade do software

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

Sites Envenenados por SEO Distribuem AsyncRAT via ScreenConnect em Campanha Massiva — Agent Breach Blog | Agent Breach