Kaspersky, Managed Detection and Response hizmeti kapsamında tespit ettiği bir olay sonrası, saldırganların popüler yazılımlar gibi görünen kurulum arşivlerini sahte internet siteleri aracılığıyla yaydığı geniş çaplı bir kampanyayı ortaya çıkardı. OBS Studio, DNS Jumper, DS4Windows, Glary Utilities ve Bandicam gibi yaygın yazılımları taklit eden sahte yükleyiciler, arama motoru optimizasyonu (SEO) teknikleriyle arama sonuçlarında üst sıralarda yer alıyor. Araştırmacılar, İngilizce, Arapça, İspanyolca, Çince, Almanca, Portekizce ve Rusça dahil 10 farklı dilde hazırlanan 90'dan fazla sahte alan adı tespit etti.
Meşru bir yazılım indirdiğini düşünen kullanıcılar, gerçekte ScreenConnect uzaktan yönetim aracını ve açık kaynaklı Truva atı AsyncRAT'ı yükleyerek saldırganlara sistem kontrolü sağlıyor. Bulaşma süreci, Microsoft tarafından dijital olarak imzalanmış meşru install.exe dosyası ile DLL side-loading tekniği kullanılarak gerçekleşiyor. Kampanyanın en aktif dönemi Şubat 2026'da yaşandı ve aynı tehdit aktörü 2025'te de benzer yöntemlerle oyun kılığında zararlı yazılımlar dağıtmıştı.
Kaspersky uzmanları, işletmelerin yazılım kurulumlarını sıkı kontrol altına alması, uygulama izin listeleri kullanması, yeni uzaktan yönetim servislerini sürekli izlemesi ve çalışanları güncel siber tehditler konusunda bilinçlendirmesi önerisinde bulunuyor. Tehlikenin geniş çaplı kimlik bilgisi hırsızlığına ve sistemlere yetkisiz erişime olanak sağlayabilmesi, ele geçirilen verilerin ise dark web forumlarında satışa sunulması açısından önemli.






