Kaspersky araştırmacıları, Managed Detection and Response hizmeti kapsamında tespit ettikleri bir olay sonrasında, saldırganların meşru yazılımları taklit eden sahte indirme siteleri aracılığıyla ScreenConnect ve AsyncRAT dağıttığı geniş kapsamlı bir kampanyayı gözler önüne serdi. 10 farklı dilde hazırlanmış 90'dan fazla domain kullanan saldırganlar, OBS Studio, DNS Jumper, DS4Windows, Glary Utilities ve Bandicam gibi yaygın yazılımları taklit ederek hedeflerine ulaşıyor. Arama motoru optimizasyonu (SEO) teknikleri kullanarak bu sahte siteleri arama sonuçlarında üst sıralarda gösterimini sağlayan saldırganlar, Windows kullanıcılarını indirme sürecine kanalize ediyorlar.

Enfeksyon mekanizması, Microsoft tarafından imzalanmış meşru install.exe dosyası ile birlikte zararlı bir DLL kitaplığı içeren arşiv dosyaları aracılığıyla işliyor. DLL side-loading tekniğini istismar ederek, bulaş sağlayan bu kitaplık ScreenConnect hizmetini kurmakta ve saldırganlardan gelecek komutları beklemektedir. Açık kaynaklı AsyncRAT trojanı ise sistem üzerinde tam kontrol sağlamak üzere yüklenmektedir. Alan adı kayıtları Şubat 2026'da zirveye ulaşmış olup, saldırganlar benzer teknikler kullanarak 2025 yılında oyun yazılımları kılığında da zararlı yükleyiciler dağıtmışlardır.

Kampanya kurumsal ortamlarda özellikle tehlikeli görünmektedir. Uzaktan erişim araçları genellikle güvenilir uygulama listelerinde yer aldığı ve yüksek ayrıcalıklarla çalışmalarına izin verildiği için, başarılı bir bulaş geniş kapsamlı kimlik bilgisi hırsızlığı ve yetkisiz sistem erişimine olanak sağlayabilmektedir. Kaspersky, işletmelerin yazılım kurulumlarını kısıtlaması, uygulama izin listeleri kullanması, uzaktan yönetim servisleri ile zamanlanmış görevleri izlemesi, bilinmeyen domain ve IP adresleri için dış ağ trafiğini filtrelemesi ve çalışanlarının bilinçlendirilmesi önerisinde bulunmaktadır.