Μια εξελιγμένη εκστρατεία δηλητηρίασης SEO στοχεύει αθόρυβα τους χρήστες των Windows τουλάχιστον από τον Οκτώβριο του 2025, παρασύροντάς τους να κατεβάσουν προγράμματα εγκατάστασης trojanized για περισσότερες από 25 δημοφιλείς εφαρμογές λογισμικού.
Η επιχείρηση παρέμεινε απαρατήρητη για περίπου πέντε μήνες πριν οι ερευνητές αποκάλυψαν το πλήρες εύρος της τον Μάρτιο του 2026, αποκαλύπτοντας μια αλυσίδα μόλυνσης πολλαπλών σταδίων που αθόρυβα διακυβεύει τις μηχανές των θυμάτων και κλέβει ευαίσθητα δεδομένα.
Η καμπάνια λειτουργεί προωθώντας πλαστές σελίδες λήψης λογισμικού στην κορυφή των αποτελεσμάτων των μηχανών αναζήτησης, στοχεύοντας χρήστες που αναζητούν εργαλεία όπως το VLC Media Player, το OBS Studio, το KMS Tools και το CrosshairX.
Όταν ένα θύμα κάνει κλικ σε έναν σύνδεσμο λήψης, λαμβάνει ένα αρχείο ZIP που περιέχει τόσο το πραγματικό λογισμικό όσο και ένα κρυφό κακόβουλο στοιχείο, και επειδή η νόμιμη εφαρμογή ξεκινά κανονικά μετά, τα περισσότερα θύματα δεν παρατηρούν τίποτα ασυνήθιστο.
Οι ιστότοποι δέλεαρ δημιουργήθηκαν με ψεύτικες συγκεντρωτικές αξιολογήσεις Schema.org και ετικέτες hreflang για πολλές γλώσσες ώστε να εμφανίζονται αξιόπιστες στα αποτελέσματα αναζήτησης.
![Στιγμιότυπο οθόνης της βελτιστοποίησης SEO στο studio-obs[.]net (Πηγή - NCC Group)](https://2cd919e0.delivery.rocketcdn.me/wp-content/uploads/2026/03/Screenshot of the SEO optimisation on studio-obs[.]net (Source - NCC Group).webp.jpeg)
μέσω μιας κοινής έρευνας που προκλήθηκε από μια απότομη αύξηση στις ειδοποιήσεις που σχετίζονται με το ScreenConnect σε περιβάλλοντα πελατών, προσδιόρισε το πλήρες εύρος της καμπάνιας τον Μάρτιο του 2026.
Αυτό που αρχικά φαινόταν ότι ήταν άσχετες ειδοποιήσεις που συνδέονται με ένα εργαλείο απομακρυσμένης διαχείρισης αποδείχθηκε ότι ήταν μια συντονισμένη λειτουργία που εκτελούσε αθόρυβα για μήνες.
Η υποστηρικτική υποδομή εκτείνεται σε τρεις Κεντρικοί υπολογιστές αναμετάδοσης ScreenConnect και δύο backend παράδοσης ωφέλιμου φορτίου, με περισσότερα από 100 κακόβουλα αρχεία συνδεδεμένα με αυτά που ανακαλύφθηκαν στο VirusTotal τη στιγμή της ανάλυσης.
Το τελικό ωφέλιμο φορτίο που παρέχεται από αυτήν την καμπάνια είναι το AsyncRAT, ένα trojan απομακρυσμένης πρόσβασης ανοιχτού κώδικα που κυκλοφόρησε για πρώτη φορά το 2019.
Αυτό το build, που ονομάζεται εσωτερικά ως “FlowProxy Monitor V3”, ξεπερνά κατά πολύ την τυπική λειτουργικότητα RAT, ενσωματώνοντας ένα keylogger, οθόνη πρόχειρου, ένα πρόγραμμα περικοπής κρυπτονομισμάτων που καλύπτει 16 νομίσματα και ένα δυναμικό σύστημα πρόσθετων που επιτρέπει στον εισβολέα να προωθήσει πρόσθετες δυνατότητες στη μνήμη κατά το χρόνο εκτέλεσης.
Η κατασκευή περιλαμβάνει επίσης έναν μηχανισμό γεω-φράχτη που παρακάμπτει σκόπιμα την υποκλοπή κρυπτονομισμάτων για θύματα που βρίσκονται στη Μέση Ανατολή, τη Βόρεια Αφρική και την Κεντρική Ασία.
Η υποδομή παράδοσης έχει επίσης εξελιχθεί σε όλη τη διάρκεια ζωής της καμπάνιας.
Τα πρώιμα ωφέλιμα φορτία φιλοξενούνταν σε στατικά, προβλέψιμα URL, αλλά στα τέλη Ιανουαρίου 2026, ο χειριστής μεταπήδησε σε ένα τυχαιοποιημένο σύστημα βασισμένο σε διακριτικά όπου κάθε σύνδεσμος λήψης δημιουργείται μοναδικά, καθιστώντας τον αποκλεισμό βάσει URL αναποτελεσματικό.
.webp.jpeg)
Το κύριο backend παράδοσης, fileget[.]χάνεις το γούστο σου[.]com, μεταμφιέζεται ως ιστότοπος κοινής χρήσης αρχείων, αλλά υπάρχει αποκλειστικά για τη διανομή κακόβουλων προγραμμάτων εγκατάστασης.
Μηχανισμός μόλυνσης πολλαπλών σταδίων
Η μόλυνση ξεκινά τη στιγμή που ένα θύμα εκτελεί το ληφθέν αρχείο. Το αρχείο ZIP ομαδοποιεί ένα γνήσιο πρόγραμμα εγκατάστασης VLC μαζί με ένα κακόβουλο libvlc.dll.
.webp.jpeg)
Δεδομένου ότι το libvlc.dll είναι μια βασική εξάρτηση του VLC, τα Windows τη φορτώνουν αυτόματα όταν ξεκινά το πρόγραμμα, εκτελώντας τον κώδικα του εισβολέα στη διαδικασία μιας αξιόπιστης εφαρμογής μέσω μιας τεχνικής που ονομάζεται πλευρική φόρτωση DLL.
Μόλις ενεργοποιηθεί, το DLL εξάγει ένα κρυφό πρόγραμμα εγκατάστασης MSI και το εκτελεί σιωπηλά. Αυτό το MSI αναπτύσσει το ScreenConnect ως υπηρεσία των Windows, μεταμφιεσμένη ως “Υπηρεσία ενημέρωσης Microsoft” και επικοινωνεί αμέσως με τον διακομιστή αναμετάδοσης του εισβολέα.
Στη συνέχεια, ο εισβολέας χρησιμοποιεί το ScreenConnect για να απορρίψει ένα VBScript που εγγράφει ένα πρόγραμμα φόρτωσης PowerShell και κωδικοποιημένα αρχεία ωφέλιμου φορτίου στο C:\Users\Public.
Ο φορτωτής αποκρυπτογραφεί αυτά τα αρχεία χρησιμοποιώντας λειτουργίες XOR και ανάκλαση δυαδικών ψηφίων και στη συνέχεια μεταγλωττίζει έναν εγχυτήρα .NET εξ ολοκλήρου στη μνήμη, ο οποίος εκτελεί το άνοιγμα της διαδικασίας σε εισάγετε το AsyncRAT στο RegAsm.exe — ένα νόμιμο δυαδικό αρχείο των Windows — χωρίς να αφήνετε κανένα αρχείο στο δίσκο για σάρωση εργαλείων ασφαλείας.
Για να επιβιώσουν οι επανεκκινήσεις και οι κλειδωμένες συνεδρίες, η καμπάνια καθιερώνει τρεις μηχανισμούς επιμονής: μια υπηρεσία Windows που έχει ρυθμιστεί να ξεκινά αυτόματα, μια Πακέτο ελέγχου ταυτότητας των Windows που φορτώνεται στο LSASS πριν συνδεθεί κάποιος χρήστης και μια προγραμματισμένη εργασία με το όνομα “MasterPackager.Updater” που εκτελεί ξανά το VBScript κάθε δύο λεπτά.
Οι χρήστες θα πρέπει πάντα να κατεβάζουν λογισμικό απευθείας από τους επίσημους ιστότοπους των προμηθευτών και να αντιμετωπίζουν τα μη αναμενόμενα μηνύματα ανύψωσης κατά την εγκατάσταση ως προειδοποίηση.
Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν για μη εξουσιοδοτημένες αναπτύξεις ScreenConnect, να επεξεργάζονται συμβάντα κούφισης στο RegAsm.exe και το mutex “confing_me_s” ως δείκτες που βασίζονται στον κεντρικό υπολογιστή.
Συνιστάται ανεπιφύλακτα ο αποκλεισμός επιβεβαιωμένων τομέων προσέλκυσης, κεντρικών υπολογιστών αναμετάδοσης και διευθύνσεων AsyncRAT C2 από τους δείκτες συμβιβασμού.
