Basado en información de The Hacker News →
Introducción
Un ataque a gran escala está utilizando páginas falsas que imitan sitios de descarga legítimos para envenenar resultados de búsqueda y distribuir el troyano de acceso remoto AsyncRAT a través de la herramienta ScreenConnect. La campaña, detectada por Kaspersky, demuestra cómo los actores de amenazas explotan la confianza del usuario en software popular para desplegar malware persistente sin necesidad de exploits complejos.
El problema
Según reportó The Hacker News, investigadores de Kaspersky identificaron una campaña masiva, multidominio y multilingüe en la que actores de amenazas desconocidos están utilizando la herramienta legítima de acceso remoto ScreenConnect como vector de entrega para desplegar y ejecutar AsyncRAT. El engranaje del ataque comienza con archivos de instalación maliciosos alojados en sitios web falsificados (spoofed) que imitan páginas de descarga de programas populares como OBS Studio, DNS Jumper, DS4Windows y Bandicam.
Consecuencias
El impacto inmediato para cualquier víctima es la instalación silenciosa de AsyncRAT, un troyano de acceso remoto que permite al atacante tomar control casi total del equipo infectado: robo de credenciales, captura de pulsaciones de teclado, exfiltración de archivos y activación de cámara o micrófono. Al ser una campaña masiva y multilingüe, la superficie de exposición es global y no discrimina por sector; cualquier usuario que busque descargar software gratuito o herramientas de productividad corre el riesgo de caer en las páginas falsas.