Фейкові завантаження несуть ScreenConnect і AsyncRAT

Kaspersky знайшла фейкові сторінки завантаження Windows-утиліт, які можуть встановити ScreenConnect і доставити AsyncRAT. Ось що перевірити після запуску такого файлу.

Фейкова сторінка завантаження, що веде до сесії ScreenConnect і попередження AsyncRAT.

Дослідники Kaspersky пов’язали кампанію фейкових завантажень із понад 90 підробленими доменами, що імітують популярні утиліти на кшталт OBS Studio, DNS Jumper, DS4Windows, Bandicam та інших Windows-програм. Такі сайти видають архіви, які виглядають як звичайні інсталятори, але можуть встановити ScreenConnect, а потім доставити AsyncRAT.

ScreenConnect сам по собі не є шкідливим ПЗ. Це легальний інструмент віддаленої підтримки. Небезпека в тому, що фейковий інсталятор перетворює його на точку доступу для зловмисника, після чого на систему потрапляє троян віддаленого доступу. Якщо ви нещодавно встановлювали програму з результатів пошуку, а не з офіційного сайту розробника, цей сценарій варто перевірити.

Кого це стосується

Кампанія націлена на людей, які шукають Windows-програми через пошук. За даними Kaspersky, підроблені сторінки були локалізовані кількома мовами, зокрема англійською, російською та китайською; частину сторінок також перекладали німецькою, французькою, іспанською, арабською та іншими мовами. Тобто це не один локальний фейк і не одна підроблена програма.

ОзнакаЧому це важливо
Фейкові сторінки для OBS Studio, DNS Jumper, DS4Windows, Bandicam та інших утилітПриманка збігається зі звичайними пошуковими запитами користувачів Windows.
Архів із install.exe і підозрілим install.res.1033.dllЛанцюжок використовує легітимний підписаний файл поруч із шкідливою DLL.
Сесія ScreenConnectЛегальний інструмент підтримки стає небезпечним, якщо прийшов із фейкового інсталятора.
AsyncRATФінальний троян може дати зловмиснику віддалений контроль, доступ до даних і можливості persistence.

Як працює ланцюжок

Атака починається з пошукової видимості. Користувач шукає популярну утиліту, відкриває переконливу сторінку завантаження й отримує архів. Усередині поруч із легітимним підписаним виконуваним файлом лежить підозріла DLL. Під час запуску архіву цей механізм запускає шкідливий ланцюжок, який веде до сесії ScreenConnect і доставки AsyncRAT.

Проблема в тому, що видима частина встановлення може не виглядати як класичний вірус. Remote support клієнт може здатися адміністративним або навіть безпечним, а попередження можуть містити назву легального вендора. Головне питання: звідки він з’явився. Якщо ScreenConnect встановився після freeware-завантаження, драйверної утиліти, screen recorder, game controller helper, cracked tool або невідомого архіву з пошуку, це підозрілий сигнал.

Що перевірити на Windows

  1. Перевірте джерело завантаження. Подивіться історію браузера й назву архіву. Якщо це був не офіційний домен розробника, не запускайте файл повторно.
  2. Знайдіть ScreenConnect або інші невідомі remote support клієнти. Перевірте встановлені програми, служби, автозапуск і нещодавні папки програм.
  3. Подивіться вміст архіву. Kaspersky окремо виділяє поєднання install.exe з install.res.1033.dll. DLL поруч із generic installer є вагомою причиною зупинитися й просканувати файл.
  4. Вимкніть підозрілий віддалений доступ. Якщо remote session активна або невідомий клієнт перепідключається, від’єднайте мережу й видаляйте клієнт контрольовано.
  5. Проскануйте систему на follow-on malware. AsyncRAT є головним ризиком, тому перевіряйте persistence, startup tasks, нові файли в профілі користувача, ризик крадіжки браузерних сесій і вихідні з’єднання.
  6. Змініть паролі з чистого пристрою. Якщо інсталятор запускався, змініть паролі й завершіть активні сесії для пошти, банкінгу, хмарних сервісів, ігор і робочих акаунтів.

Якщо файл уже запускався, видалити лише видимий інсталятор недостатньо. Після першого очищення можуть залишитися loader, service, scheduled task, remote support клієнт або RAT-компонент. Запустіть повне сканування Gridinsoft Anti-Malware, видаліть detections, перезавантажте ПК і повторіть перевірку, якщо повертаються попередження про remote access, невідомий автозапуск або вихідний трафік.

[gs_cta variant=”phishing_download” campaign=”screenconnect_asyncrat_fake_downloads_ua” title=”Перевірте ПК після фейкового завантаження” button=”Просканувати залишки”]

Як не потрапити в цю пастку

Для популярних Windows-утиліт використовуйте офіційний домен розробника або перевірене store-посилання. Не довіряйте випадковим ad-result, mirror, reupload site або “free download center”. Особливо небезпечні сторінки, які пропонують один архів для різних програм, обіцяють “швидший інсталятор” або використовують загальні фрази без чіткої інформації про видавця.

Для компаній окремий сигнал ризику — remote support інструмент, встановлений поза затвердженим каналом. Легітимний ScreenConnect має мати власника, заявку, зрозуміле джерело інсталятора й політику керування. Клієнт, який з’явився з папки Downloads користувача, є зовсім іншим випадком.

FAQ

ScreenConnect — це вірус?

Ні. ScreenConnect є легальним ПЗ для віддаленої підтримки. У цій кампанії зловмисники зловживають шляхом встановлення: доставляють його з підроблених download-сайтів і використовують у ланцюжку зараження AsyncRAT.

Що робити, якщо я встановив OBS, DNS Jumper, DS4Windows або Bandicam із результату пошуку?

Перевірте домен, з якого було завантаження, видаліть підозрілі програми, проскануйте архів і систему, а якщо інсталятор запускався — змініть паролі з чистого пристрою. Перевстановлюйте програму лише з офіційного джерела.

Чому підписаний інсталятор усе одно може бути небезпечним?

Підписаний виконуваний файл можна використати разом зі шкідливим файлом, який лежить поруч. Підпис не робить увесь архів безпечним.

Джерела

  1. Kaspersky Global Research and Analysis Team. “How a single ScreenConnect incident exposed a massive campaign.” Securelist, опубліковано 1 липня 2026, доступ 1 липня 2026. https://securelist.com/the-soc-files-screenconnect-campaign-with-asyncrat/120472/
  2. ConnectWise. “Uninstall an access agent.” ConnectWise ScreenConnect documentation, доступ 1 липня 2026. https://docs.connectwise.com/ConnectWise_ScreenConnect_Documentation/Get_started/Host_client/View_menu/Uninstall_an_access_agent

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.