Link
I programmi di installazione di ScreenConnect trojanizzati, camuffati da documenti legittimi, distribuivano AsyncRAT e un RAT PowerShell personalizzato tramite ClickOnce. La catena di attacco si è evoluta, distribuendo successivamente AsyncRAT e PureHVNC RAT utilizzando script batch, caricatori VBS e assembly .NET codificati. Gli aggressori hanno sfruttato le funzionalità di automazione di ScreenConnect per una distribuzione rapida e hanno utilizzato tecniche di offuscamento per eludere il rilevamento. Sono stati distribuiti più RAT contemporaneamente, suggerendo ridondanza o infrastruttura condivisa. Il RAT personalizzato ha eseguito la ricognizione del sistema e l'esfiltrazione dei dati..
Fonte: https://www.acronis.com/en/tru/posts/trojanized-screenconnect-installers-evolve-dropping-multiple-rats-on-a-single-machine/
Published: Thu, 18 Sep 2025 10:05:50