Bir grup siber tehdit aktörü, ScreenConnect uzaktan yönetim aracını yaymak için meşru yazılım sitelerini taklit eden sahte internet sayfalarını kullanıyor. Kaspersky’nin yaptığı incelemeler, dünya çapında 90’tan fazla alan adını içeren ve İngilizce, Arapça, İspanyolca, Çince, Almanca, Portekizce ile Rusça dillerinde hizmet veren sahte siteler tespit edildiğini gösteriyor. Bu strateji, Windows kullanıcılarını hem bireysel hem de kurumsal hedeflerle karşı karşıya getiriyor.

Managed Detection and Response (MDR) hizmeti kapsamında tespit edilen bir olaydan yola çıkılarak, saldırganların popüler programlar gibi görünen kurulum arşivlerini sahte siteler üzerinden dağıttığı ortaya konuldu. Bu sahte yükleyiciler OBS Studio, DNS Jumper, DS4Windows, Glary Utilities ve Bandicam gibi yaygın yazılımları taklit ediyor ve kullanıcıların arama sonuçlarında üst sıralarda görünmesi için SEO tekniklerinden yararlanılıyor.Araştırmacılar, 90’tan fazla sahte yazılım sitesinde aynı yöntemin kullanıldığını belirledi. Kullanıcılar meşru bir indirme işlemi yaptıklarını sanarken, cihazlarına kalıcı erişim sağlayacak gizli bir ScreenConnect arayüzünü indirmiş oluyorlar. Ardından bu arayüz üzerinden açık kaynaklı Truva atı AsyncRAT da yüklenebiliyor. Şubat 2026’da bu tür alan adlarının kaydı zirve yaparken, 2025 yılında da benzer sahte sitelerle zararlı yükler dağıtılıyordu.Saldırganların hedef aldığı sahte web sitesinin bir örneğiBulaşma süreci, Microsoft’un imzalı meşru install.exe dosyasıyla birlikte gelen zararlı arşivler olan install.res.1033.dll içeren paketler aracılığıyla ilerliyor. DLL side-loading tekniğiyle cihaza yüklenen bu dosyalar, karşı tarafın komutlarını bekleyen bir ScreenConnect hizmetini kuruyor. Kaspersky Kıdemli SOC Analisti Denis Kulik, “Bu kampanya, internetten ücretsiz yardımcı yazılımlar indiren bireyler kadar kurumsal ağlarda yüksek ayrıcalıkla çalışan uzaktan erişim araçlarını da hedefliyor” diyor ve ekliyor: “Asıl tehlike, kimlik bilgileri hırsızlığına ve sistemlere yetkisiz erişime yol açmasıdır; ele geçirilen veriler genelde dark web’de satışa sunulur.”Raporun tamamı Securelist üzerinden erişilebilir. Kaspersky, bu tehdide karşı işletmelere ve bireylere yönelik şu önlemleri öneriyor:

Managed Detection and Response (MDR) hizmeti kapsamında tespit edilen bir olaydan yola çıkılarak, saldırganların popüler programlar gibi görünen kurulum arşivlerini sahte siteler üzerinden dağıttığı ortaya konuldu. Bu sahte yükleyiciler OBS Studio, DNS Jumper, DS4Windows, Glary Utilities ve Bandicam gibi yaygın yazılımları taklit ediyor ve kullanıcıların arama sonuçlarında üst sıralarda görünmesi için SEO tekniklerinden yararlanılıyor.Araştırmacılar, 90’tan fazla sahte yazılım sitesinde aynı yöntemin kullanıldığını belirledi. Kullanıcılar meşru bir indirme işlemi yaptıklarını sanarken, cihazlarına kalıcı erişim sağlayacak gizli bir ScreenConnect arayüzünü indirmiş oluyorlar. Ardından bu arayüz üzerinden açık kaynaklı Truva atı AsyncRAT da yüklenebiliyor. Şubat 2026’da bu tür alan adlarının kaydı zirve yaparken, 2025 yılında da benzer sahte sitelerle zararlı yükler dağıtılıyordu.Saldırganların hedef aldığı sahte web sitesinin bir örneğiBulaşma süreci, Microsoft’un imzalı meşru install.exe dosyasıyla birlikte gelen zararlı arşivler olan install.res.1033.dll içeren paketler aracılığıyla ilerliyor. DLL side-loading tekniğiyle cihaza yüklenen bu dosyalar, karşı tarafın komutlarını bekleyen bir ScreenConnect hizmetini kuruyor. Kaspersky Kıdemli SOC Analisti Denis Kulik, “Bu kampanya, internetten ücretsiz yardımcı yazılımlar indiren bireyler kadar kurumsal ağlarda yüksek ayrıcalıkla çalışan uzaktan erişim araçlarını da hedefliyor” diyor ve ekliyor: “Asıl tehlike, kimlik bilgileri hırsızlığına ve sistemlere yetkisiz erişime yol açmasıdır; ele geçirilen veriler genelde dark web’de satışa sunulur.”Raporun tamamı Securelist üzerinden erişilebilir. Kaspersky, bu tehdide karşı işletmelere ve bireylere yönelik şu önlemleri öneriyor:
- Yazılım kurulumlarını sıkı denetim altında tutun: Uygulama izin listeleri kullanın ve güvenilmeyen kaynaklardan MSI paketlerinin yüklenmesini engelleyin.
- Yeni uzaktan yönetim servisleri ile zamanlanmış görevleri sürekli izleyin.
- Şüpheli alan adları ve IP adreslerine yönelik trafiği filtreleyin.
- Çalışanları güncel tehditler konusunda bilinçlendirin; Kaspersky Automated Security Awareness Platform ile güvenli yazılım indirme alışkanlıkları üzerinde çalışın.
- Yazılım kaynaklarının güvenilirliğini doğrulayın ve mevcut güvenlik kontrollerini insan uzmanların tespit hizmetleriyle güçlendirin. Kaspersky MDR, 7/24 izleme ve hızlı müdahale imkanı sunar.
- Ele geçirilmiş hesap veya sistem erişimlerinin sıçrama noktası olarak kullanılmasını önlemek için kimlik bilgilerinin sızdırılıp sızdırılmadığını izleyin. Kaspersky Digital Footprint Intelligence, açık internet ve dark web’i sürekli tarayarak erken müdahale sağlar.
- Bireysel kullanıcılar için: Yazılım indirirken güvenilir kaynaktaklarını tercih edin ve özellikle şüpheli sitelerden uzak durun.
- Tüm cihazlarda Kaspersky Premium gibi güçlü bir güvenlik çözümü kullanın ve Çok Faktörlü Kimlik Doğrulama (MFA) etkinleştirin.
- Hesap hareketlerini düzenli olarak izleyin ve internet sitelerinin URL’lerini dikkatle kontrol edin.









