Nel corso di un'indagine condotta nel 2022 e pubblicata successivamente dal team Kaspersky Managed Detection and Response, è emersa una campagna di distribuzione malware che trasforma strumenti di accesso remoto legittimi in infrastrutture di compromissione silenziosa. Gli attori della minaccia hanno costruito oltre 90 domini spoofing in 10 lingue per imitare freeware popolare — OBS Studio, DNS Jumper, DS4Windows, Bandicam — e veicolare ScreenConnect come ponte verso il payload AsyncRAT. Il meccanismo sfrutta la fiducia implicita che utenti e difese perimetrali riservano al software di amministrazione remota whitelisted.
- Gli installer malevoli contengono un eseguibile Microsoft firmato e una libreria rogue caricata via DLL sideloading per installare il servizio ScreenConnect
- La catena di esecuzione prosegue con PowerShell, VBS, steganografia XOR 0xA7 in file .txt e reflective load .NET fino al process hollowing in RegAsm.exe
- Oltre 90 nomi di dominio spoofing localizzati in 10 lingue indicano un'operazione pianificata e scalabile, non uno schema amatoriale
- ScreenConnect non è vulnerabile: è abusato come strumento legittimo, il che aggira le difese basate su reputazione del software
La catena d'attacco: dal freeware spoofato al servizio nascosto
L'ingresso avviene attraverso archivi installer distribuiti su siti che replicano l'interfaccia e il branding di software freeware largamente diffuso. Secondo il report di Kaspersky, "the malicious archives bundle a legitimate, signed Microsoft install.exe binary alongside a rogue install.res.1033.dll library. It is loaded onto the device via DLL sideloading and deploys the ScreenConnect service". La firma digitale dell'eseguibile legittimo offre un riparo reputazionale: le soluzioni di sicurezza che si affidano esclusivamente al trust del vendor non rilevano l'anomalia.
Il DLL sideloading è il punto di pivot. La libreria rogue, caricata dall'installer firmato, installa ScreenConnect come servizio di tipo Access con server C2 passato via riga di comando. A questo stadio il sistema è già compromesso, ma la presenza di un tool RMM legittimo non scatta allarmi nei sistemi di monitoraggio convenzionali. È il "paradosso della fiducia" descritto nel dossier: strumenti progettati per l'amministrazione remota diventano involontariamente il primo anello di una catena di persistenza.
Da PowerShell a RegAsm.exe: la pipeline multi-stadio
Una volta attivato il servizio, ScreenConnect genera ed esegue lo script PowerShell denominato Fj5NmEsp9EuKrun.ps1. Questo script configura esclusioni di Microsoft Defender per tutti i dischi e le directory root, e disabilita il Controllo Account Utente. La neutralizzazione delle difese endpoint avviene in modo programmatico e silenzioso, senza richiedere interazione da parte dell'utente.
Successivamente viene creato lo script VBS installer_method3_stream.vbs, che genera cinque file in C:\Users\Public: msgbox.txt, secret_bytes.txt, 1.vb, cap.ps1 e script.vbs. Lo script cap.ps1 legge secret_bytes.txt, estrae pattern marcati da [SXX-, decodifica da esadecimale, applica XOR con chiave 0xA7 e inverte l'ordine dei bit. Come documenta il report Kaspersky, "the resulting byte array yields a fully formed PE binary, which is then reflectively loaded into the CLR".
Il PE deoffuscato viene caricato riflessivamente nel Common Language Runtime e il metodo ConsoleApp1.Module1.Run esegue process hollowing su RegAsm.exe con flag CREATE_SUSPENDED. Il report specifica che "the Run method executes a process hollowing technique (T1055.012), spawning a new RegAsm.exe process with the CREATE_SUSPENDED flag". In questa fase finale viene iniettato AsyncRAT, un remote access Trojan .NET che garantisce persistenza e controllo remoto sulla macchina compromessa.
"During a recent investigation engagement, the Kaspersky Managed Detection and Response (MDR) team discovered the ScreenConnect remote access tool being leveraged to deploy and execute an AsyncRAT payload"
L'infrastruttura C2: scala e localizzazione come indicatori di maturità
La superficie di distribuzione della campagna supera di gran lunga il modello del singolo attore opportunistico. Il team Kaspersky ha identificato "more than 90 domain names localized across 10 languages" come parte dell'infrastruttura di comando e controllo. Questa dimensione richiede registrazione sistematica, hosting distribuito e manutenzione continua dei domini spoofing. La localizzazione in dieci lingue indica inoltre un targeting geografico deliberato, anche se il dossier non specifica quali lingue o regioni siano coinvolte.
Gli indicatori di compromissione C2 documentati nel report includono gli indirizzi IP 162.216.241[.]242 e 198.23.185[.]81. La fonte non specifica se i domini identificati fossero ancora attivi al momento della pubblicazione del report, né quante vittime — individuali o organizzazioni — siano state effettivamente compromesse. L'attribuzione a un threat actor specifico non è fornita.
Cosa fare adesso
Le organizzazioni devono trattare l'installazione di tool RMM come evento di sicurezza monitorabile, non come operazione amministrativa routinaria. Tre azioni specifiche al caso documentato:
Verificare la provenienza degli installer di freeware. La campagna ha distribuito payload tramite siti che imitavano OBS Studio, DNS Jumper, DS4Windows e Bandicam su oltre 90 domini spoofing in 10 lingue. Il download deve avvenire esclusivamente da domini ufficiali verificati, non da risultati di motore di ricerca non controllati.
Monitorare l'esecuzione di install.exe con DLL sideloading. L'archivio malevolo bundle un install.exe Microsoft firmato con install.res.1033.dll rogue. Le difese endpoint devono segnalare il caricamento di librerie da percorsi non standard o la coesistenza di eseguibili firmati con DLL sospette nella stessa directory.
Controllare script PowerShell che configurano esclusioni Defender su tutti i dischi. Lo script Fj5NmEsp9EuKrun.ps1 della campagna ha disabilitato UAC e impostato esclusioni a livello di root. Questo pattern è rilevabile tramite logging di PowerShell e regole di behavioral analytics su modifiche alle policy di sicurezza.
Analizzare processi RegAsm.exe con flag CREATE_SUSPENDED. Il process hollowing documentato nel report usa RegAsm.exe come container. Il monitoraggio della creazione di processi .NET con flag di sospensione anomali, seguiti da scrittura nella memoria del processo, intercetta questa fase finale della catena.
Domande e risposte
ScreenConnect stesso è vulnerabile o compromesso?
No. ScreenConnect è un tool RMM legittimo abusato come veicolo di accesso. Non emerge nel dossier alcuna vulnerabilità del prodotto o compromissione della sua supply chain.
Perché il process hollowing avviene in RegAsm.exe?
RegAsm.exe è un componente .NET firmato Microsoft, quindi la sua esecuzione non suscita allarmi. Il process hollowing ne svuota lo spazio di indirizzamento e vi inietta il payload, ottenendo persistenza dietro l'apparenza di un processo attendibile.
La campagna è ancora attiva?
Il report Kaspersky non specifica lo stato attuale dei domini spoofing né la durata totale dell'operazione C2. Il dato dell'indagine si riferisce a un incidente rilevato nel 2022.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.