A Look at Upcoming Innovations in Electric and Autonomous Vehicles Касперский раскрыл схему. ScreenConnect атакует по всему миру

Касперский раскрыл схему. ScreenConnect атакует по всему миру

Касперский раскрыл схему. ScreenConnect атакует по всему миру

«Лаборатория Касперского» вскрыла масштабную кампанию по распространению легитимного инструмента удалённого доступа ScreenConnect через поддельные сайты - больше 90 доменов на 10 языках, включая русский. За фасадом страниц якобы бесплатного ПО скрывается цепочка, ведущая к полному захвату чужой машины.

Как работает ловушка

Схема выглядит обманчиво просто. Пользователь ищет в поиске, например, OBS Studio или DS4Windows - и попадает на страницу-клон, которая занимает высокие позиции благодаря намеренно выстроенной SEO-оптимизации. Скачанный архив содержит легитимный подписанный файл Microsoft и библиотеку install.res.1033.dll. Через технику DLL sideloading та незаметно разворачивает сервис ScreenConnect. Дальше - тишина. Атакующие получают устойчивый канал и уже через него устанавливают AsyncRAT - троянец с открытым кодом, дающий полный контроль над скомпрометированным устройством.

Кампанию удалось обнаружить при разборе инцидента, зафиксированного сервисом Kaspersky MDR. Именно там следователи заметили нетипичное поведение: ScreenConnect использовался не для удалённой поддержки, а как плацдарм для запуска вредоносного модуля. Потянули за ниточку - и вышли на всю инфраструктуру.

Кто под прицелом и почему это опасно

Цели - и домашние пользователи, качающие утилиты из сети, и корпоративные сети. Во втором случае риск особенно высок: инструменты удалённого администрирования нередко числятся в списке разрешённого ПО и работают с повышенными привилегиями, а значит, их появление не вызывает немедленной тревоги у систем защиты. Пик регистрации доменов пришёлся на февраль 2026 года. Те же злоумышленники годом ранее использовали аналогичный приём, маскируя вредоносные установщики под игры.

«Кампания опасна тем, что может привести к масштабной краже учётных данных и несанкционированному доступу к системам. Украденная информация в дальнейшем уходит на теневые площадки», - говорит Денис Кулик, эксперт по кибербезопасности «Лаборатории Касперского».

Что делать прямо сейчас

Для организаций рекомендации конкретны:

  • Ввести строгий контроль за установкой ПО - белые списки, блокировка MSI-пакетов из непроверенных источников
  • Отслеживать появление новых сервисов удалённого администрирования и задач планировщика
  • Фильтровать исходящий трафик к неизвестным доменам и адресам
  • Вести мониторинг учётных данных на предмет признаков компрометации
  • Подключить круглосуточный мониторинг и реагирование через MDR-решения

Частным пользователям - короткое, но важное правило: скачивать ПО только с официальных сайтов разработчиков, включить двухфакторную аутентификацию и не игнорировать предупреждения антивируса. Поддельный сайт может выглядеть убедительно. Адресная строка браузера - нет.