Actores de amenazas desconocidos están aprovechando la herramienta de acceso remoto ScreenConnect como una forma de implementar y ejecutar AsyncRAT.
Kaspersky dijo que la actividad es parte de una campaña “masiva, multidominio y multilingüe” que distribuye archivos de instalación maliciosos alojados en sitios web falsificados.
Estos instaladores se hacen pasar por software popular como OBS Studio, DNS Jumper, DS4Windows y Bandicam, entre otros. La empresa rusa de ciberseguridad dijo que identificó más de 90 nombres de dominio localizados en 10 idiomas, incluidos inglés, ruso, chino, alemán, francés, español, portugués y árabe. Algunos de estos dominios se configuraron entre agosto de 2025 y marzo de 2026.
“Los archivos maliciosos incluyen un binario legítimo y firmado de Microsoft install.exe junto con una biblioteca maliciosa install.res.1033.dll”, dijo el investigador de seguridad Denis Kulik. “Se carga en el dispositivo mediante carga lateral de DLL e implementa el servicio ScreenConnect, que espera más instrucciones de los actores de la amenaza”.
“Esto permitió a los atacantes mantener el control sobre los puntos finales comprometidos, con víctimas que van desde usuarios individuales hasta organizaciones”.
Una vez que ScreenConnect está en funcionamiento, el servicio crea y ejecuta un script de PowerShell (“Fj5NmEsp9EuKrun.ps1”), que configura las exclusiones de Microsoft Defender, deshabilita las indicaciones de Control de cuentas de usuario (UAC) y luego crea un archivo de script de Visual Basic (VBScript) llamado “installer_method3_stream.vbs”.

El script, por su parte, crea un conjunto de cinco archivos en el directorio “C:UsersPublic”:
- msgbox.txt
- bytes_secretos.txt
- 1.vb
- cap.ps1
- script.vbs
En la siguiente etapa, desencadena la ejecución de “script.vbs”, un script responsable de finalizar todos los procesos activos de PowerShell y ejecutar “cap.ps1” en una ventana oculta. El objetivo principal del script de PowerShell es leer el contenido del archivo “secret_bytes.txt”, extraer del mismo el módulo AsyncRAT y ejecutarlo mediante el proceso de vaciado.
Luego, el malware establece una conexión con un servidor remoto (“mora1987.work(.)gd”), lo que permite al actor de la amenaza controlar de forma encubierta los sistemas Windows infectados, robar datos confidenciales y monitorear la actividad del usuario grabando el contenido de la pantalla.
La persistencia se establece mediante una tarea programada (“MasterPackager.Updater”) que se activa cada dos minutos para ejecutar “script.vbs”, lo que garantiza que todo el ataque se ejecute después de reiniciar el sistema.
“El actor de amenazas disfraza ScreenConnect como utilidades populares y lo distribuye a través de sitios web fraudulentos que imitan las páginas oficiales de los productos”, dijo Kaspersky. “Los atacantes aprovechan las técnicas de optimización de motores de búsqueda para llevar estos sitios a la cima de los resultados de búsqueda en motores como Google y Bing”.



