«Лаборатория Касперского» вскрыла масштабную кампанию по распространению легитимного инструмента удалённого доступа ScreenConnect через поддельные сайты - больше 90 доменов на 10 языках, включая русский. За фасадом страниц якобы бесплатного ПО скрывается цепочка, ведущая к полному захвату чужой машины.
Как работает ловушка
Схема выглядит обманчиво просто. Пользователь ищет в поиске, например, OBS Studio или DS4Windows - и попадает на страницу-клон, которая занимает высокие позиции благодаря намеренно выстроенной SEO-оптимизации. Скачанный архив содержит легитимный подписанный файл Microsoft и библиотеку install.res.1033.dll. Через технику DLL sideloading та незаметно разворачивает сервис ScreenConnect. Дальше - тишина. Атакующие получают устойчивый канал и уже через него устанавливают AsyncRAT - троянец с открытым кодом, дающий полный контроль над скомпрометированным устройством.
Кампанию удалось обнаружить при разборе инцидента, зафиксированного сервисом Kaspersky MDR. Именно там следователи заметили нетипичное поведение: ScreenConnect использовался не для удалённой поддержки, а как плацдарм для запуска вредоносного модуля. Потянули за ниточку - и вышли на всю инфраструктуру.
Кто под прицелом и почему это опасно
Цели - и домашние пользователи, качающие утилиты из сети, и корпоративные сети. Во втором случае риск особенно высок: инструменты удалённого администрирования нередко числятся в списке разрешённого ПО и работают с повышенными привилегиями, а значит, их появление не вызывает немедленной тревоги у систем защиты. Пик регистрации доменов пришёлся на февраль 2026 года. Те же злоумышленники годом ранее использовали аналогичный приём, маскируя вредоносные установщики под игры.
«Кампания опасна тем, что может привести к масштабной краже учётных данных и несанкционированному доступу к системам. Украденная информация в дальнейшем уходит на теневые площадки», - говорит Денис Кулик, эксперт по кибербезопасности «Лаборатории Касперского».
Что делать прямо сейчас
Для организаций рекомендации конкретны:
- Ввести строгий контроль за установкой ПО - белые списки, блокировка MSI-пакетов из непроверенных источников
- Отслеживать появление новых сервисов удалённого администрирования и задач планировщика
- Фильтровать исходящий трафик к неизвестным доменам и адресам
- Вести мониторинг учётных данных на предмет признаков компрометации
- Подключить круглосуточный мониторинг и реагирование через MDR-решения
Частным пользователям - короткое, но важное правило: скачивать ПО только с официальных сайтов разработчиков, включить двухфакторную аутентификацию и не игнорировать предупреждения антивируса. Поддельный сайт может выглядеть убедительно. Адресная строка браузера - нет.