Im Zentrum der von Kaspersky beobachteten Kampagne stehen präparierte Installationsarchive, die sich als bekannte Software ausgeben. Sicherheitsforscher Denis Kulik erklärt, dass diese Archive eine legitime, signierte Datei „install.exe“ von Microsoft zusammen mit der schädlichen Bibliothek „install.res.1033.dll“ enthalten. Über DLL-Sideloading werde die Bibliothek auf das Gerät geladen und installiere den ScreenConnect-Dienst, der anschließend auf weitere Anweisungen der Angreifer wartet.
Kaspersky zufolge verschafft diese Methode den Tätern dauerhafte Kontrolle über kompromittierte Endpunkte. Betroffen seien sowohl einzelne Nutzer als auch Organisationen. Die Verbreitung erfolgt über gefälschte Websites, die offiziellen Produktseiten nachempfunden sind und populäre Werkzeuge wie OBS Studio, DNS Jumper, DS4Windows und Bandicam imitieren.
Sobald ScreenConnect aktiv ist, erstellt und startet der Dienst ein PowerShell-Skript mit dem Namen „Fj5NmEsp9EuKrun.ps1“. Dieses richtet Ausnahmen in Microsoft Defender ein, deaktiviert Nachfragen der Benutzerkontensteuerung und legt anschließend ein Visual-Basic-Skript namens „installer_method3_stream.vbs“ an. Dieses Skript wiederum erzeugt fünf Dateien im Verzeichnis „C:\Users\Public“.
Im nächsten Schritt wird „script.vbs“ ausgeführt. Dieses Skript beendet alle laufenden PowerShell-Prozesse und startet „cap.ps1“ in einem versteckten Fenster. Das eigentliche Ziel dieses PowerShell-Skripts besteht darin, den Inhalt der Datei „secret_bytes.txt“ auszulesen, daraus das AsyncRAT-Modul zu extrahieren und es per Process Hollowing auszuführen.
Anschließend baut die Schadsoftware eine Verbindung zum entfernten Server „mora1987.work[.]gd“ auf. Darüber können die Angreifer infizierte Windows-Systeme verdeckt steuern. Laut Kaspersky dient das außerdem dazu, sensible Daten zu stehlen und Nutzeraktivitäten durch Aufzeichnung von Bildschirminhalten zu überwachen.
Für die Persistenz sorgt eine geplante Aufgabe mit dem Namen „MasterPackager.Updater“. Sie wird alle zwei Minuten ausgelöst und startet „script.vbs“. Dadurch wird die gesamte Angriffskette auch nach einem Neustart des Systems erneut ausgeführt.
Kaspersky beschreibt die Kampagne als breit angelegt und über viele Domains sowie Sprachen verteilt. Die Angreifer tarnen ScreenConnect demnach als populäre Hilfsprogramme und verteilen die Pakete über betrügerische Websites, die offizielle Produktseiten nachahmen. Um Opfer dorthin zu lenken, missbrauchen sie Suchmaschinenoptimierung, damit die Seiten in Suchergebnissen von Google und Bing möglichst weit oben erscheinen.
