Новая кампания SEO-отравления маскируется под загрузки популярного ПО и использует ScreenConnect для доставки AsyncRAT

Расследование, инициированное специалистами центров безопасности компаний FOX-IT и NCC Group в марте 2026 года, началось с роста числа оповещений, связанных с легитимным продуктом для удалённого администрирования ScreenConnect. Первоначально это казалось разрозненными инцидентами, однако более глубокий анализ выявил слаженную многоступенчатую кампанию, которая оставалась незамеченной как минимум пять месяцев. Угроза использует технику SEO-отравления, манипулируя результатами поисковых систем, чтобы поддельные сайты появлялись в топе выдачи по запросам о скачивании популярного бесплатного софта.

На момент анализа эксперты идентифицировали более 25 поддельных ресурсов, имитирующих загрузочные страницы таких программ, как медиаплеер VLC, софт для записи экрана OBS Studio, набор активаторов KMS Tools и утилиту для настройки прицела в играх CrosshairX. Жертва, попадая на такой сайт, скачивает архив, содержащий, помимо ожидаемого легального установщика, скрытые вредоносные компоненты. Ключевым элементом атаки является тайная установка клиента ScreenConnect, который предоставляет злоумышленникам первоначальный доступ к системе. В изученных случаях этот доступ впоследствии использовался для развёртывания AsyncRAT - открытого инструмента удалённого администрирования, превращённого в полноценный троян. Особенностью данной кампании стала конфигурация вредоносной программы, включающая встроенный клиппер для криптовалют, динамическую систему плагинов для загрузки произвольного функционала и механизм геофильтрации, намеренно исключающий цели на Ближнем Востоке, в Северной Африке и Центральной Азии.

Инфраструктура кампании включает как минимум три релейных хоста для ScreenConnect и два бэкенда для доставки полезной нагрузки. Исследователи [обнаружили] на VirusTotal более сотни связанных вредоносных файлов, причём первые домены были зарегистрированы ещё в октябре 2025 года. За время операции злоумышленники непрерывно совершенствовали свою инфраструктуру, перейдя от использования статических ссылок для скачивания к сложному механизму на основе случайных токенов, что существенно затрудняет блокировку на уровне URL.

Атака начинается с того, что пользователь в поисках, например, установщика VLC Media Player попадает на сайт-двойник, такой как vlc-media[.]com. Нажатие на кнопку загрузки инициирует запрос к файловому хосту, который возвращает архив, содержащий легитимный установщик VLC и вредоносную библиотеку DLL. Запуск установщика приводит к побочной загрузке (sideloading) этой DLL, которая, в свою очередь, извлекает и тихо запускает скрытый пакет MSI. Этот пакет устанавливает ScreenConnect, предоставляя атакующему плацдарм в системе. Далее, используя возможности удалённого управления, злоумышленник внедряет на компьютер жертвы VBS-скрипт. Этот скрипт размещает набор файлов и запускает PowerShell-скрипт, конечной целью которого является запуск исполняемого файла AsyncRAT, внедрённого в память легитимного системного процесса, что создаёт скрытый канал удалённого доступа.

Анализ сайтов-приманок показал их высокую оптимизацию для поисковых систем. На ресурсах использовались теги hreflang для таргетинга на разные языковые регионы, поддельные агрегированные рейтинги Schema.org для придания доверия в выдаче, а на сайте studio-obs[.]net были даже обнаружены токены верификации для Bing Webmaster Tools и Yandex. Веб-сайт, маскирующийся под OBS Studio, также содержал китайские ключевые слова в метатегах, что указывает на попытку привлечь мандариноговорящую аудиторию. Примечательно, что аналитические и верификационные идентификаторы на разных сайтах были уникальны, что свидетельствует о преднамеренном разделении инфраструктуры для усложнения её обнаружения.

Объединяющим элементом для сайтов-подделок стал специально написанный JavaScript-механизм загрузки (download-link.js). Вместо жёстко заданных в HTML ссылок, каждый сайт при нажатии кнопки загрузки обращается к простому текстовому конфигурационному файлу link-downloads.txt. Этот файл определяет базовый URL для доставки, длину токена и флаг, разрешающий генерацию случайных токенов. Скрипт генерирует уникальную алфавитно-цифровую строку, присоединяет её к базовому URL и перенаправляет браузер жертвы по получившемуся адресу. Такой подход гарантирует, что каждая ссылка для скачивания будет уникальной, делая неэффективными методы блокировки на основе URL, в отличие от блокировки целых доменов. Весь трафик с поддельных сайтов перенаправляется на бэкенд-домен fileget[.]loseyourip[.]com, который, несмотря на имитацию файлообменного сервиса, используется исключительно для доставки вредоносной нагрузки, организованной в тематические подкаталоги.

Установка ScreenConnect происходит скрытно, с предварительно сконфигурированными параметрами для подключения к управляемому злоумышленником релейному серверу. В свойствах установки отключены опции восстановления и изменения программы, что ограничивает возможность пользователя исследовать или удалить её стандартными средствами. Сервис регистрируется под названием Microsoft Update Service, маскируясь под легитимный системный компонент. В параметрах запуска сервиса зашифрованы данные для подключения к командному серверу, включая хост, порт и RSA-ключ. Особый интерес представляет поле "c=", которое оператор использует для маркировки сессий по источнику жертвы, например, "c=VLC" или "c=studio-obs[.]net". Это позволяет атакующим напрямую из консоли управления ScreenConnect сортировать новых жертв по тем кампаниям фишинга, через которые они были привлечены.

Данная кампания демонстрирует возросшую сложность атак, нацеленных на массовую аудиторию. Использование легитимного инструментария, динамической инфраструктуры, сложной социальной инженерии и многоэтапного исполнения кода представляет серьёзный вызов для традиционных средств защиты. Угроза оставалась активной в течение многих месяцев, адаптируясь и совершенствуя свои методы, что подчёркивает необходимость для организаций и частных пользователей проявлять повышенную бдительность при загрузке программного обеспечения, даже из, казалось бы, надёжных источников в поисковой выдаче.

IPv4

• 104.243.248.63
• 136.0.213.192
• 144.126.149.104
• 154.53.50.197
• 155.94.163.103
• 158.94.208.111
• 162.216.241.242
• 164.68.120.30
• 165.232.45.1
• 172.111.151.97
• 172.111.233.102
• 172.94.18.103
• 176.96.137.225
• 191.93.118.254
• 37.72.172.58
• 45.133.180.162
• 45.145.41.205
• 67.210.97.27
• 85.239.237.148
• 91.188.254.112
• 91.92.241.103
• 91.92.241.142
• 94.154.35.73

Domains

• crosshairx.pro
• crosshairx.site
• direct-download.giize.com
• ehostservers.xyz
• fileget.loseyourip.com
• hone32.work.gd
• km-player.pro
• kms-tools.com
• manageserver.xyz
• mora1987.work.gd
• obs-studio.site
• r.manage-server.xyz
• r.servermanagemen.xyz
• studio-obs.net
• vlc-media.com
• vlc-media.net
• vlc-player.net

SHA256

• 1174a49a0187cf5085798bfb40d5085553435e72c01881bd5a4bedf55c2547e5
• 159251579645082d54ac5a68cb1f3c2aab00452fc273f16495a9f29e2486989b
• 2bb85af314d77c45704b350cd475dff8286c571a32d71b9f62cacd316a53576c
• 3347319f5752eba2acf6c47ff39aba76df2584c383a6b870c85f28e5c538e956
• 5ea6e34419d40a5ebd4fd46d46c285c84d18d8f656f8dd1b8753f890155d4917
• 8311e7365be53fd8a75ca313046e65ffe54d98a209d382b8f110e39ca706900c
• 87c640d3184c17d3b446a72d5f13d643a774b4ecc7afbedfd4e8da7795ea8077
• 9cda5edf3b9565edb38da39b88c7c27d322b9fab2eb3a792bd047a311a3a93cd
• 9d4c0655ea8d75440415f221ab0cc115ad51674a29b8a17cad21e688740d951a
• a7a19a7d6fb55c6ba0e5a22fa370bc600c71f59b31d63f46776a9a9aa2615a48
• c36e1b629985cf5379733de9c2d645446cb3333f8660bf137a46fb227ef170e4
• c7dcb3de6c3822770e5a305d167232bcdef57690cb39dd69a774c00e2a65935f
• d8407a05dada1dcfe8080889c51b696dad150f85e513a8536cdfad9ab3a6507c
• e38773bcf571e6990aca317c9d0140726fde741d5deb7f82e57659ffff54468a
• f9110e7efce392bd4c4fbc9b8b2fb0f225f50fcdeeaa8528075c03146245b4fd