🛡️ Executive Summary
- Oltre 90 domini imitano software popolari come OBS Studio, Bandicam e DS4Windows per distribuire malware.
- La catena di infezione sfrutta DLL sideloading, installa ScreenConnect e distribuisce successivamente AsyncRAT con tecniche stealth.
- Gli aggressori utilizzano strumenti firmati, process hollowing e modifiche a Microsoft Defender per mantenere persistenza ed eludere il rilevamento.
Una nuova campagna malware dimostra come il software legittimo possa essere trasformato in uno dei vettori di compromissione più efficaci. I ricercatori hanno individuato un’infrastruttura composta da oltre 90 siti web che imitano le pagine ufficiali di applicazioni molto diffuse, tra cui OBS Studio, DNS Jumper, DS4Windows, Bandicam, Glary Utilities e Process Hacker. L’obiettivo è convincere utenti e amministratori di sistema a scaricare installer apparentemente autentici che, oltre al programma richiesto, installano in modo invisibile ScreenConnect, noto software di accesso remoto, successivamente utilizzato per distribuire AsyncRAT. La campagna è particolarmente insidiosa perché sfrutta componenti firmati digitalmente e strumenti comunemente autorizzati negli ambienti aziendali, rendendo l’attività molto difficile da distinguere da un’installazione perfettamente legittima.
Cosa leggere
Una rete di siti falsi costruita per ingannare gli utenti
Gli operatori della campagna hanno realizzato decine di domini che riproducono fedelmente grafica, loghi e contenuti dei siti ufficiali dei software più ricercati. Attraverso tecniche di Search Engine Optimization (SEO) i portali fraudolenti riescono spesso a comparire tra i primi risultati dei motori di ricerca, aumentando la probabilità che gli utenti scarichino il pacchetto compromesso. I siti supportano almeno dieci lingue, tra cui inglese, tedesco, francese, spagnolo, russo, cinese e arabo, segno di una campagna con ambizioni globali. L’infrastruttura è distribuita su più cluster di indirizzi IP, dedicati rispettivamente all’hosting dei siti, alla distribuzione degli archivi compressi e ai server utilizzati durante la fase di installazione.
DLL sideloading per installare ScreenConnect senza destare sospetti

L’infezione inizia con il download di un archivio ZIP contenente un installer apparentemente autentico e una libreria DLL modificata. L’eseguibile legittimo viene utilizzato per sfruttare una tecnica di DLL sideloading, caricando automaticamente il file malevolo invece della libreria prevista. La DLL installa silenziosamente sia il programma richiesto dall’utente sia una copia di ScreenConnect, utilizzando msiexec.exe con parametri che impediscono qualsiasi finestra di dialogo o richiesta di conferma. Al termine dell’installazione il software desiderato viene effettivamente avviato, inducendo la vittima a credere che l’operazione sia andata a buon fine, mentre in background il servizio remoto viene registrato con nomi apparentemente innocui come Microsoft Update Service.
ScreenConnect prepara il sistema alla distribuzione di AsyncRAT
Una volta ottenuto l’accesso remoto, ScreenConnect avvia una serie di script PowerShell e VBScript destinati a modificare l’ambiente di sicurezza del sistema. Gli script aggiungono ampie esclusioni a Microsoft Defender, comprendendo interi volumi, directory principali e cartelle condivise, oltre a ridurre le protezioni del Controllo dell’Account Utente (UAC). Successivamente vengono creati numerosi file temporanei all’interno della cartella C:\Users\Public, tra cui script incaricati di ricostruire il payload finale. Questo approccio consente agli aggressori di utilizzare strumenti amministrativi perfettamente legittimi, riducendo la probabilità che i sistemi di sicurezza blocchino automaticamente la catena di infezione.
AsyncRAT viene eseguito con reflective loading e process hollowing

Il payload finale viene recuperato da un file apparentemente innocuo contenente dati cifrati. Uno script PowerShell estrae specifici pattern, applica una decrittazione basata su operazioni XOR e ricostruisce un eseguibile Portable Executable (PE) direttamente in memoria. Il malware utilizza quindi tecniche di reflective loading per caricare il codice all’interno del Common Language Runtime e ricorre al process hollowing per iniettare il payload in un’istanza sospesa di RegAsm.exe, componente firmato del framework .NET. In questo modo AsyncRAT viene eseguito all’interno di un processo perfettamente legittimo, riducendo drasticamente la possibilità di rilevamento mediante controlli basati esclusivamente sui processi in esecuzione.
Persistenza e disattivazione delle difese

Per garantire la permanenza sul sistema gli aggressori creano un’attività pianificata denominata MasterPackager.Updater, configurata per essere eseguita automaticamente ogni due minuti. Il task richiama wscript.exe, che a sua volta avvia gli script responsabili della ricostruzione e del caricamento di AsyncRAT. Anche nel caso in cui il malware venga terminato, il meccanismo di persistenza provvede rapidamente a ripristinarne l’esecuzione. Parallelamente le modifiche alle impostazioni di Microsoft Defender e del User Account Control riducono ulteriormente la capacità del sistema operativo di intercettare comportamenti sospetti, creando un ambiente favorevole all’installazione di ulteriori payload.
Un’infrastruttura progettata per eludere i controlli aziendali
L’aspetto più efficace della campagna è l’utilizzo di ScreenConnect, soluzione di accesso remoto ampiamente adottata in ambito enterprise per attività di assistenza tecnica. In molte organizzazioni il software è già presente nelle liste di applicazioni autorizzate, consentendo agli aggressori di operare attraverso un canale ritenuto affidabile. La combinazione tra strumenti firmati, installazioni silenziose, DLL sideloading e process hollowing rende la catena estremamente difficile da individuare con le tradizionali soluzioni antivirus basate su firme. Una volta stabilito l’accesso remoto, gli operatori possono distribuire ulteriori malware, raccogliere credenziali, effettuare movimenti laterali e mantenere il controllo dell’infrastruttura compromessa per lunghi periodi.
Come individuare la compromissione e ridurre il rischio
Gli indicatori più significativi comprendono la comparsa di servizi ScreenConnect non autorizzati, processi PowerShell avviati dal client remoto, modifiche improvvise alle configurazioni di Microsoft Defender, attività pianificate che eseguono script dalla cartella C:\Users\Public e l’avvio anomalo di RegAsm.exe con tecniche di iniezione in memoria. Le organizzazioni dovrebbero limitare l’installazione di software proveniente da siti non ufficiali, verificare sempre la provenienza dei pacchetti scaricati e monitorare con attenzione l’utilizzo di strumenti di amministrazione remota anche quando risultano firmati digitalmente. Il controllo comportamentale dei processi, unito alla verifica delle connessioni di rete e all’analisi delle catene di esecuzione, rappresenta oggi il metodo più efficace per individuare campagne che sfruttano software legittimo come vettore di compromissione.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









