Σύνοψη
- Περισσότερες από 90 ιστοσελίδες μιμούνταν επίσημες σελίδες δωρεάν εφαρμογών
- Η καμπάνια υποστήριζε τουλάχιστον 10 γλώσσες
- Τα αρχεία εγκαθιστούσαν κρυφά το ScreenConnect
- Οι δράστες μπορούσαν στη συνέχεια να αναπτύξουν το AsyncRAT
- Η επίθεση στόχευε ιδιώτες και οργανισμούς με συστήματα Windows
Η αναζήτηση για δωρεάν λογισμικό μετατράπηκε σε παγίδα απομακρυσμένου ελέγχου για χρήστες Windows.
Η Kaspersky αποκάλυψε μια μεγάλης κλίμακας κακόβουλη εκστρατεία, στο πλαίσιο της οποίας περισσότερες από 90 πλαστές ιστοσελίδες εμφανίζονταν ως επίσημες σελίδες γνωστών εφαρμογών. Οι χρήστες πίστευαν ότι κατέβαζαν προγράμματα όπως τα OBS Studio, DNS Jumper, DS4Windows, Glary Utilities και Bandicam, όμως τα αρχεία εγκαθιστούσαν κρυφά το ScreenConnect και στη συνέχεια το trojan απομακρυσμένης πρόσβασης AsyncRAT.
Η υπόθεση έχει ιδιαίτερη σημασία επειδή οι επιτιθέμενοι αξιοποίησαν νόμιμο και ψηφιακά υπογεγραμμένο λογισμικό απομακρυσμένης διαχείρισης, το οποίο μπορεί να περνά απαρατήρητο από ορισμένους μηχανισμούς ασφαλείας. Η εκστρατεία στόχευε τόσο ιδιώτες όσο και εταιρικά δίκτυα, δημιουργώντας κίνδυνο κλοπής διαπιστευτηρίων και μη εξουσιοδοτημένης πρόσβασης.
Περισσότερες από 90 πλαστές ιστοσελίδες
Οι ερευνητές εντόπισαν περισσότερα από 90 domains, σχεδιασμένα ώστε να μιμούνται τις επίσημες ιστοσελίδες δημοφιλών δωρεάν εφαρμογών.
Οι σελίδες υποστήριζαν τουλάχιστον 10 γλώσσες, μεταξύ των οποίων αγγλικά, αραβικά, ισπανικά, κινεζικά, γερμανικά, πορτογαλικά και ρωσικά. Με αυτόν τον τρόπο, οι δράστες μπορούσαν να προσεγγίζουν χρήστες σε πολλές χώρες.
Παράλληλα, χρησιμοποιούσαν τεχνικές βελτιστοποίησης για τις μηχανές αναζήτησης, ώστε οι παραπλανητικές σελίδες να εμφανίζονται ψηλά στα αποτελέσματα αναζήτησης και να μοιάζουν περισσότερο αξιόπιστες.
Πώς γινόταν η μόλυνση
Τα κακόβουλα αρχεία διανέμονταν μέσα σε συμπιεσμένα πακέτα εγκατάστασης, τα οποία περιλάμβαναν ένα νόμιμο, υπογεγραμμένο αρχείο της Microsoft με την ονομασία install.exe και μια κακόβουλη βιβλιοθήκη install.res.1033.dll.
Η βιβλιοθήκη φορτωνόταν μέσω της τεχνικής DLL sideloading, κατά την οποία μια νόμιμη εφαρμογή χρησιμοποιείται για την εκτέλεση κακόβουλου κώδικα. Στη συνέχεια εγκαθίστατο ως υπηρεσία το ScreenConnect, περιμένοντας νέες εντολές από τους επιτιθέμενους.
Με την πρόσβαση αυτή, οι δράστες μπορούσαν να εγκαταστήσουν το AsyncRAT, ένα trojan ανοικτού κώδικα που επιτρέπει τον πλήρη απομακρυσμένο έλεγχο ενός μολυσμένου συστήματος.
Γιατί χρησιμοποιήθηκε το ScreenConnect
Το ScreenConnect είναι ένα νόμιμο εργαλείο απομακρυσμένης διαχείρισης, σχεδιασμένο για τεχνική υποστήριξη και διαχείριση συστημάτων.
Ακριβώς αυτή η νόμιμη χρήση το καθιστά ελκυστικό για τους επιτιθέμενους. Σε αρκετά εταιρικά περιβάλλοντα, εφαρμογές απομακρυσμένης πρόσβασης περιλαμβάνονται στις λίστες επιτρεπόμενων προγραμμάτων και διαθέτουν αυξημένα δικαιώματα.
Έτσι, η κακόβουλη δραστηριότητα μπορεί να μοιάζει με κανονική λειτουργία διαχείρισης και να παραμένει ενεργή για μεγαλύτερο χρονικό διάστημα.
Η σύνδεση με παλαιότερη εκστρατεία
Σύμφωνα με την έρευνα, οι καταχωρίσεις domains που συνδέονταν με τη συγκεκριμένη δραστηριότητα κορυφώθηκαν τον Φεβρουάριο του 2026.
Η ίδια ομάδα φέρεται να είχε χρησιμοποιήσει παρόμοια τακτική το 2025, δημιουργώντας πλαστές ιστοσελίδες που παρουσίαζαν κακόβουλα αρχεία εγκατάστασης ως παιχνίδια.
Η αλλαγή του δολώματος από παιχνίδια σε δημοφιλείς δωρεάν εφαρμογές δείχνει ότι οι δράστες προσαρμόζουν συνεχώς την υποδομή τους, ανάλογα με το τι αναζητούν οι χρήστες.
Οι κίνδυνοι για χρήστες και επιχειρήσεις
Μόλις αποκτήσουν απομακρυσμένη πρόσβαση, οι επιτιθέμενοι μπορούν να παρακολουθήσουν τη δραστηριότητα του θύματος, να κλέψουν κωδικούς πρόσβασης, να αντιγράψουν αρχεία ή να εγκαταστήσουν επιπλέον κακόβουλο λογισμικό.
Σε εταιρικά δίκτυα, ένας μολυσμένος υπολογιστής μπορεί επίσης να λειτουργήσει ως αρχικό σημείο εισόδου για επιθέσεις σε περισσότερα συστήματα.
Τα κλεμμένα διαπιστευτήρια και η πρόσβαση σε εταιρικά περιβάλλοντα μπορούν αργότερα να πωληθούν σε παράνομα διαδικτυακά φόρουμ ή να αξιοποιηθούν σε νέες επιθέσεις.
Πώς μπορούν να προστατευτούν οι χρήστες
Οι εφαρμογές πρέπει να κατεβαίνουν αποκλειστικά από τις επίσημες ιστοσελίδες των δημιουργών τους ή από αξιόπιστα καταστήματα λογισμικού.
Οι χρήστες χρειάζεται να ελέγχουν προσεκτικά την ορθογραφία του domain, την ταυτότητα του εκδότη και την ψηφιακή υπογραφή του αρχείου πριν από την εγκατάσταση.
Η ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων μπορεί επίσης να περιορίσει τις συνέπειες σε περίπτωση κλοπής κωδικών πρόσβασης. Παράλληλα, οι λογαριασμοί και οι οικονομικές συναλλαγές πρέπει να ελέγχονται τακτικά για ύποπτη δραστηριότητα.
Τι πρέπει να προσέξουν οι επιχειρήσεις
Οι οργανισμοί μπορούν να περιορίσουν τον κίνδυνο εφαρμόζοντας αυστηρούς κανόνες για την εγκατάσταση λογισμικού και μπλοκάροντας πακέτα εγκατάστασης που προέρχονται από μη αξιόπιστες πηγές.
Ιδιαίτερη προσοχή απαιτείται στη δημιουργία νέων υπηρεσιών απομακρυσμένης διαχείρισης, στις προγραμματισμένες εργασίες και στις εξερχόμενες συνδέσεις προς άγνωστα domains ή διευθύνσεις IP.
Παράλληλα, η εκπαίδευση των εργαζομένων σχετικά με τις ασφαλείς λήψεις και τις πλαστές ιστοσελίδες παραμένει κρίσιμη, καθώς η επίθεση ξεκινά από ένα αρχείο που ο ίδιος ο χρήστης επιλέγει να κατεβάσει.
Τι πιστεύουμε
Η συγκεκριμένη εκστρατεία δείχνει ότι ακόμη και μια απλή αναζήτηση για γνωστό δωρεάν λογισμικό μπορεί να οδηγήσει σε σοβαρή παραβίαση. Η πρώτη θέση στα αποτελέσματα αναζήτησης δεν αποτελεί εγγύηση αξιοπιστίας και η επιβεβαίωση της επίσημης πηγής πρέπει να προηγείται κάθε λήψης.
Συχνές ερωτήσεις
Ποια προγράμματα χρησιμοποιήθηκαν ως δόλωμα;
Μεταξύ των εφαρμογών που μιμήθηκαν οι πλαστές ιστοσελίδες ήταν τα OBS Studio, DNS Jumper, DS4Windows, Glary Utilities και Bandicam.
Τι είναι το ScreenConnect;
Πρόκειται για νόμιμο εργαλείο απομακρυσμένης διαχείρισης υπολογιστών, το οποίο στην προκειμένη περίπτωση χρησιμοποιήθηκε καταχρηστικά από τους επιτιθέμενους.
Τι μπορεί να κάνει το AsyncRAT;
Το AsyncRAT μπορεί να προσφέρει στους δράστες εκτεταμένο απομακρυσμένο έλεγχο, πρόσβαση σε αρχεία και δυνατότητα εκτέλεσης πρόσθετων κακόβουλων ενεργειών.
Πώς εμφανίζονταν οι πλαστές ιστοσελίδες στις αναζητήσεις;
Οι επιτιθέμενοι χρησιμοποιούσαν τεχνικές βελτιστοποίησης για τις μηχανές αναζήτησης, ώστε οι σελίδες τους να κατατάσσονται ψηλότερα στα αποτελέσματα.
Πώς μπορεί να ελεγχθεί αν μια σελίδα είναι επίσημη;
Ο χρήστης πρέπει να ελέγχει προσεκτικά το domain, την ορθογραφία της διεύθυνσης και τα στοιχεία του δημιουργού του λογισμικού πριν κατεβάσει οποιοδήποτε αρχείο.


