Salta al contenuto
1 julio 2026

Campaña global de malware: cómo cibercriminales explotan ScreenConnect para distribuir AsyncRAT

Cibercriminales están utilizando la herramienta de acceso remoto ScreenConnect para distribuir el malware AsyncRAT en una campaña global que afecta a usuarios y organizaciones en múltiples idiomas.

Campaña global de malware: cómo cibercriminales explotan ScreenConnect para distribuir AsyncRAT

En un giro preocupante, cibercriminales están utilizando la herramienta de acceso remoto ScreenConnect para distribuir el malware AsyncRAT en una campaña global que afecta a usuarios y organizaciones en múltiples idiomas. La campaña, descrita como masiva y multilingüe utiliza archivos de instalación maliciosos alojados en sitios web falsificados.

La empresa de ciberseguridad Kaspersky ha identificado más de 90 nombres de dominio localizados en 10 idiomas, incluyendo inglés, ruso, chino, alemán, francés, español, portugués y árabe. Algunos de estos dominios fueron creados entre agosto de 2026 y marzo de 2026. Los archivos maliciosos se hacen pasar por software popular como OBS StudioDNS JumperDS4Windows y Bandicam.

Mecanismo de infección y distribución

El investigador de seguridad Denis Kulik de Kaspersky explicó que los archivos maliciosos incluyen un binario Microsoft install.exe legítimo y firmado, junto con una biblioteca install.res.1033.dll maliciosa. Esta biblioteca se carga en el dispositivo mediante DLL side-loading y despliega el servicio ScreenConnect que espera instrucciones adicionales de los atacantes.

Una vez que ScreenConnect está en funcionamiento, el servicio crea y ejecuta un script de PowerShell llamado Fj5NmEsp9EuKrun.ps1. Este script configura exclusiones en Microsoft Defender desactiva los prompts de User Account Control (UAC) y crea un archivo de VBScript llamado installer_method3_stream.vbs.

Creación de archivos y ejecución de scripts

El script crea un conjunto de cinco archivos en el directorio C:\Users\Publicmsgbox.txtsecret_bytes.txt1.vbcap.ps1 y script.vbs. A continuación, se ejecuta script.vbs que termina todos los procesos de PowerShell activos y ejecuta cap.ps1 en una ventana oculta.

El script de PowerShell lee el contenido del archivo secret_bytes.txt extrae el módulo AsyncRAT y lo ejecuta utilizando process hollowing. El malware establece entonces una conexión con un servidor remoto (mora1987.work[.]gd), permitiendo a los atacantes controlar de manera encubierta los sistemas Windows infectados, robar datos sensibles y monitorear la actividad del usuario.

Técnicas de engaño y optimización

Los atacantes disfrazan ScreenConnect como utilidades populares y lo distribuyen a través de sitios web fraudulentos que imitan páginas de productos oficiales. Utilizan técnicas de search engine optimization (SEO) para posicionar estos sitios en los primeros resultados de motores de búsqueda como Google y Bing.

Para mantener el control sobre los puntos finales comprometidos, los atacantes establecen persistencia mediante una tarea programada llamada MasterPackager.Updater que se activa cada dos minutos para ejecutar script.vbs. Esto garantiza que el ataque completo se ejecute después de un reinicio del sistema.

Esta campaña global de malware subraya la importancia de la vigilancia constante y la implementación de medidas de seguridad robustas para proteger contra amenazas sofisticadas y en evolución.

Autore

Javier Ortega

Javier Ortega, bilbaíno de 58 años con estilo casual, rememora haber seguido la larga huelga industrial en la ría de Nervión y entrevistar a trabajadores en astilleros. Sostiene un periodismo que visibiliza a quienes quedan fuera del poder; guarda archivos fotográficos de la transformación industrial de Euskadi.