Ваша экранная заставка – это троянский конь. Рассказываем о новой схеме, которая дает хакерам полный контроль над ПК

Специалисты ReliaQuest обнаружили новую фишинговую кампанию, где злоумышленники прячут удаленный доступ к системе в самом неожиданном месте, в файлах экранной заставки Windows. Один клик по такому файлу может незаметно установить средство удаленного управления и дать атакующим полный контроль над компьютером, при этом внешне все выглядит как обычная рабочая операция.

Пользователям отправляют письма с деловой легендой и ссылкой на загрузку якобы документа из облачного хранилища. На деле по ссылке лежит файл с расширением .scr. Многие считают такие файлы безобидными заставками, но в Windows это полноценные исполняемые программы. Названия подбирают правдоподобные, вроде «InvoiceDetails.scr» или «ProjectSummary.scr», чтобы снизить подозрения и подтолкнуть к запуску.

После запуска такого файла на компьютер тихо ставится легальное средство удаленного мониторинга и управления. Обычно такие программы используют администраторы для поддержки рабочих станций, поэтому защитные системы часто не считают их вредоносными. В результате злоумышленники получают постоянный удаленный доступ, который маскируется под обычную техническую активность и может долго не вызывать тревоги.

По данным исследователей, атака выстроена так, чтобы обходить защиту по репутации сервисов и адресов. Для размещения файлов используются популярные облачные площадки, а не собственная инфраструктура атакующих. Это усложняет блокировку и замедляет реагирование. Конкретные сервисы и программы могут меняться, но сама схема легко повторяется и масштабируется.

Закрепившись в системе через средство удаленного управления, атакующие могут двигаться дальше по сети, выгружать данные, похищать учетные записи и в итоге запускать шифровальщики. В расследованных инцидентах специалисты видели признаки связи с внешними управляющими серверами, что указывает на подготовку к следующим этапам вторжения.

Специалисты отмечают, что проблема во многом связана с недооценкой файлов .scr и избыточным доверием к легальным средствам удаленной поддержки. Во многих организациях такие инструменты разрешены по умолчанию, а политики запуска приложений не ограничивают экранные заставки как исполняемые файлы. Этим и пользуются злоумышленники.

Специалисты советуют относиться к файлам экранных заставок так же строго, как к обычным программам. Рекомендуется запретить или жестко ограничить запуск .scr из пользовательских папок загрузки и рабочего стола, а также вести белый список разрешенных средств удаленного администрирования и отслеживать любые неожиданные установки таких агентов. Отдельно полезно ограничить доступ к сторонним файлообменным сервисам и загрузку исполняемых файлов из них. Такой подход снижает риск успешного проникновения по этой схеме и похожим сценариям.