Skip to content

Kaspersky hoiatab enam kui 90 võltsitud allalaadimisdomeeni eest, mis levitavad AsyncRAT-nakkust

Lühidalt: Küberkurjategijad haldavad enam kui 90 võltsdomeeni populaarse Windows-tarkvara nime all ja kasutavad DLL-sideloadingut koos ScreenConnectiga sillana AsyncRAT-troojani juurde, et varastada kaugjuurdepääsu ja kasutajaandmeid.

Kaspersky on dokumenteerinud kampaania, mille käigus üle 90 pettusega domeeni jäljendavad legitiimseid tarkvara allalaadimislehti. Manipuleeritud installifailide kaudu jõuavad ründajad DLL-sideloadingu ja ScreenConnecti juurutamise abil AsyncRAT-troojanini ning saavutavad seeläbi täieliku kontrolli süsteemi üle.

Kaspersky on tuvastanud laiaulatusliku nakatamiskampaania, mille käigus ründajad haldavad veebilehti, mis jäljendavad tuntud tarkvaratoodete ametlikke allalaadimisplatvorme. Jäljendatavate programmide hulgas on OBS Studio, DNS Jumper, DS4Windows, Glary Utilities ja Bandicam. Kokku on tuvastatud enam kui 90 pettusega domeeni kümnes keeles, sealhulgas saksa, inglise, hispaania ja hiina keeles. Ründajad kasutavad otsingumootorite optimeerimist, et need lehed otsingutulemustes silmapaistvale kohale tõsta. Domeenide registreerimine saavutas esialgse tipptaseme 2026. aasta veebruaris.

Nakatamismehhanism kasutab manipuleeritud arhiivifaile, mis sisaldavad kahte komponenti: legitiimset, digitaalselt allkirjastatud Microsofti faili nimega install.exe ning ettevalmistatud teeki install.res.1033.dll. Võltsitud installifaili käivitamisel laaditakse DLL-sideloadingu abil taustal pahaloomuline teek. See käivitab kaughaldustööriista ScreenConnect installimise, mis on valgetes nimekirjades tavaliselt varustatud laiendatud õigustega. Seejärel laadivad ründajad alla avatud lähtekoodiga troojani AsyncRAT, mis võimaldab süsteemi täielikku kontrolli. Sama meetodit kasutati juba 2025. aastal, kuid siis mängude installiarhiivide kaudu.

Pärast edukat kompromiteerimist on ründajate eesmärgiks kasutajaandmete vargus ja loata juurdepääs süsteemidele. Varastatud andmeid müüakse tavaliselt edasi varivõrgu foorumites. Ründemudel on suunatud nii tavakasutajatele, kes laadivad internetist alla tasuta tarkvara, kui ka ettevõtete võrkudele, kus kaugjuurdepääsu tööriistu peetakse usaldusväärseks.

Riski maandamiseks soovitab Kaspersky organisatsioonidel: kontrollida tarkvara installimist lubatud nimekirjade (allow-list) abil, blokeerida tundmatutest allikatest pärit MSI-pakette, jälgida pidevalt kaughaldusteenuseid ja automatiseeritud süsteemitoiminguid, filtreerida serveripoolselt väljuvat võrguliiklust tundmatutesse domeenidesse ning korraldada töötajatele küberturvalisuse riskide alast koolitust ja kontrollida süsteeme kompromiteeritud kasutajaandmete suhtes. Tavakasutajatel soovitatakse tarkvara laadida alla ainult tootjate ametlikelt veebilehtedelt, aktiveerida kaheastmeline autentimine, kontrollida enne allalaadimist URL-i õigsust ning kasutada aktiivseid turvalahendusi.


Allikas: www.it-daily.net · Avaldatud 2. juulil 2026
Lumi AI News — tehisintellekti abiga kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.2 abil.

Share on: