Το SILENTCONNECT είναι ένα πρόγραμμα φόρτωσης κακόβουλου λογισμικού πολλαπλών σταδίων που ανακαλύφθηκε πρόσφατα και στοχεύει σιωπηλά μηχανήματα Windows τουλάχιστον από τον Μάρτιο του 2025.
Χρησιμοποιεί VBScript, εκτέλεση PowerShell στη μνήμη και μεταμφίεση PEB για την εγκατάσταση του εργαλείου απομακρυσμένης παρακολούθησης και διαχείρισης ConnectWise ScreenConnect σε συστήματα θυμάτων.
Μόλις αναπτυχθεί, το ScreenConnect παρέχει στον εισβολέα πλήρη πρακτικό έλεγχο του πληκτρολογίου του παραβιασμένου υπολογιστή, αποτελώντας σοβαρή απειλή για τα εταιρικά περιβάλλοντα παγκοσμίως.
Η μόλυνση ξεκινά όταν ένας στόχος λάβει ένα μήνυμα ηλεκτρονικού ψαρέματος με έναν σύνδεσμο που φαίνεται να οδηγεί σε μια νόμιμη πρόσκληση ή πρόταση. Κάνοντας κλικ σε αυτό ανακατευθύνει το θύμα σε α Η σελίδα Cloudflare Turnstile CAPTCHA τους ζητά να επαληθεύσουν ότι είναι άνθρωποι.
Μόλις κάνετε κλικ στο πλαίσιο ελέγχου, ένα αρχείο VBScript με το όνομα E-INVITE.vbs γίνεται αυτόματα λήψη στο μηχάνημα.
Οι ηθοποιοί απειλών έχουν χρησιμοποιήσει πειστικά ονόματα αρχείων όπως το Proposal-03-2026.vbs για να κάνουν τα θέλγητρα να φαίνονται αξιόπιστα και να χαμηλώνουν την προστασία του θύματος πριν από την εκτέλεση.
Οι ερευνητές της Elastic Security Labs προσδιόρισαν την εκστρατεία στις αρχές Μαρτίου 2026, μετά από μια λοίμωξη που ζει εκτός της γης, δημιούργησε πολλαπλές ειδοποιήσεις συμπεριφοράς σε σύντομο χρονικό διάστημα.
Η αρχική λήψη VBScript ενεργοποίησε ένα ύποπτο σενάριο Windows που λήφθηκε από τον κανόνα ανίχνευσης του Διαδικτύου, δίνοντας στους αναλυτές ένα σημείο περιστροφής για τον εντοπισμό της μόλυνσης χρησιμοποιώντας πεδία διεύθυνσης URL προέλευσης αρχείου.
Το VBScript φιλοξενήθηκε στον αποθηκευτικό χώρο r2.dev του Cloudflare, ενώ το ωφέλιμο φορτίο C# ελήφθη από το Google Drive — δύο αξιόπιστες πλατφόρμες που οι περισσότερες άμυνες δικτύου είναι απίθανο να αποκλείσουν.
Το SILENTCONNECT συνδυάζεται με την κανονική δραστηριότητα των Windows για να παραμείνει κάτω από το ραντάρ. Το VBScript χρησιμοποιεί μια παιδική ιστορία ως δόλωμα ενώ κρύβει πραγματικές οδηγίες μέσα στις λειτουργίες Replace και Chr.
Όταν αποκωδικοποιείται, ενεργοποιεί μια εντολή PowerShell που χρησιμοποιεί το ενσωματωμένο curl.exe για τη λήψη ενός αρχείου πηγής C#, το μεταγλωττίζει κατά τη διάρκεια εκτέλεσης μέσω του Add-Type και το εκτελεί εξ ολοκλήρου στη μνήμη.
Δεδομένου ότι κανένα κακόβουλο εκτελέσιμο δεν είναι γραμμένο στο δίσκο, τα περισσότερα τελικά σημεία Τα εργαλεία ασφαλείας αγωνίζονται να εντοπίσουν αυτήν τη συμπεριφορά σε πραγματικό χρόνο.
Η υποδομή του παράγοντα απειλής αποκαλύπτει επίσης ένα σταθερό μοτίβο. Ένα μήνυμα ηλεκτρονικού “ψαρέματος” στο VirusTotal με θέμα ΕΙΣΤΕ ΚΑΛΕΣΜΕΝΟΣ εντοπίστηκε στο dan@checkfirst[.]καθαρά[.]au, υποδυόμενος μια πρόταση έργου από μια ψεύτικη εταιρεία.
Ο εισβολέας χρησιμοποίησε ξανά την ίδια διαδρομή URI — download_invitee.php — σε πολλούς παραβιασμένους ιστότοπους, κάτι που αποδείχθηκε λάθος της OPSEC, επιτρέποντας στους ερευνητές να χαρτογραφήσουν την πλήρη υποδομή της καμπάνιας μέσω στοχευμένων αναζητήσεων VirusTotal.
Μόλις εκτελεστεί ο φορτωτής .NET, το SILENTCONNECT μετακινείται γρήγορα για να εξαφανιστεί από την προβολή εργαλείου ασφαλείας. Μετά από αδράνεια για 15 δευτερόλεπτα, εκχωρεί εκτελέσιμη μνήμη μέσω του NtAllocateVirtualMemory και αντιγράφει ένα μικρό στέλεχος shellcode σε αυτήν την περιοχή.
Αυτός ο κώδικας φλοιού ανακτά τη διεύθυνση του Process Environment Block, μιας δομής των Windows που παρακολουθεί όλες τις λειτουργικές μονάδες που φορτώνονται σε μια διαδικασία που εκτελείται, επιτρέποντας στο κακόβουλο λογισμικό να λειτουργεί σε χαμηλό επίπεδο συστήματος, ενώ παρακάμπτει τις κλήσεις API που παρακολουθούνται συνήθως.
Με τη διεύθυνση PEB ανά χείρας, το SILENTCONNECT εκτελεί μεταμφιέσεις PEB εντοπίζοντας τη δική του καταχώρηση στη λίστα λειτουργιών και αντικαθιστώντας τα πεδία BaseDLLName και FullDllName για να εμφανιστούν τα winhlp32.exe και c:\windows\winhlp32.exe.
Δεδομένου ότι πολλές λύσεις EDR βασίζονται σε δεδομένα PEB ως αξιόπιστη αναφορά κατά τον εντοπισμό ύποπτων διεργασιών, αυτή η ανταλλαγή ονομάτων συγκαλύπτει το πρόγραμμα φόρτωσης ως ένα αβλαβές βοηθητικό πρόγραμμα βοήθειας των Windows, καθιστώντας το σχεδόν αόρατο στον αυτοματοποιημένο εντοπισμό.
Πριν από την εγκατάσταση του ScreenConnect, το πρόγραμμα φόρτωσης εκτελεί μια παράκαμψη UAC μέσω της διεπαφής COM CMSTPLUA, αποθηκεύει τις παραμέτρους του με αντίστροφη σειρά ως συσκότιση και προσθέτει σιωπηλά μια εξαίρεση του Microsoft Defender για αρχεία exe.
Στη συνέχεια κατεβάζει το ScreenConnect MSI από την bumptobabeco[.]επάνω μέσω του curl.exe, το εγκαθιστά μέσω του msiexec.exe και το ρυθμίζει ως υπηρεσία Windows που στέλνει σήμα στον διακομιστή του εισβολέα μέσω της θύρας TCP 8041.
Οι οργανισμοί θα πρέπει να ελέγχουν τακτικά τα περιβάλλοντά τους για μη εξουσιοδοτημένες αναπτύξεις RMM και να παρακολουθούν την εξερχόμενη κίνηση σε άγνωστες διευθύνσεις διακομιστή ScreenConnect.
Οι ομάδες ασφαλείας θα πρέπει να επισημαίνουν τις εντολές του PowerShell που συνδυάζουν το Add-Type με απομακρυσμένες λήψεις, ειδοποίηση για Τα αρχεία VBScript ελήφθησαν από το διαδίκτυο και παρακολουθήστε για απροσδόκητες αλλαγές εξαίρεσης του Defender.
Η παρακολούθηση κλήσεων NtAllocateVirtualMemory από διεργασίες .NET μπορεί επίσης να βοηθήσει στην αντιμετώπιση αυτής της απειλής πριν φτάσει σε πλήρη συμβιβασμό.
Γράφει η Ιωάννα Γαλανού Χειρουργός Μαστού, Διευθύντρια ΣΤ’ Κλινικής Μαστού ΥΓΕΙΑ ΜΗΤΕΡΑ Κέντρο Επανορθωτικής, Ενδοσκοπικής…
Μειωμένοι κατά 5,9% εμφανίζονται εγγεγραμμένοι στη ΔΥΠΑ για τον Φεβρουάριο 2026 σε σχέση με το…
Home » Φορτίζει τα πάντα, ακόμα και το laptop σου: Το UGreen PB551…
Όπως ίσως έχετε ακούσει, η Samsung ετοιμάζεται να λανσάρει μερικά νέα τηλέφωνα Galaxy A για…
Η τεχνολογία και η μόδα είναι δύο εντελώς διαφορετικοί κόσμοι. Το τηλέφωνο μπαίνει σε μια…
Πίνακας περιεχομένων Πίνακας περιεχομένων Πίνακας περιεχομένων Καλύτερη τηλεοπτική προσφορά στις αρχές της Μεγάλης Άνοιξης Προσφορές…
