AsyncRAT Exploits ConnectWise ScreenConnect to Steal Credentials and Crypto

1 minute de lecture

Mis à jour : September 11, 2025

Exploitation de ConnectWise ScreenConnect par AsyncRAT pour le vol de données

Une nouvelle campagne malveillante utilise ConnectWise ScreenConnect, un logiciel légitime de gestion et de surveillance à distance (RMM), pour déployer un cheval de Troie d’accès à distance (RAT) appelé AsyncRAT. L’attaquant obtient un accès distant via ScreenConnect, puis exécute un chargeur VBScript et PowerShell en plusieurs étapes. Ce chargeur récupère des composants obfusqués à partir d’URL externes, qui finissent par déployer AsyncRAT.

L’installation d’AsyncRAT est rendue persistante en créant une tâche planifiée se faisant passer pour un “Skype Updater”. AsyncRAT est ensuite exécuté, permettant le vol de frappes clavier, l’extraction d’identifiants de navigateur, la création d’empreintes du système, et la recherche de portefeuilles de cryptomonnaies installés sur Google Chrome, Brave, Microsoft Edge, Opera et Mozilla Firefox. Les informations collectées sont transmises à un serveur de commande et de contrôle (C2) via un socket TCP.

Points Clés:

Utilisation de ConnectWise ScreenConnect comme vecteur d’infection initial.
Déploiement de malware “fileless” (sans fichier) via des scripts VBScript et PowerShell.
Persistance établie par une tâche planifiée “Skype Updater”.
AsyncRAT pour le vol d’identifiants de navigateurs, la collecte d’informations système, et la recherche de portefeuilles de cryptomonnaies.
Exfiltration des données vers un serveur C2.

Vulnérabilités:

L’article ne mentionne pas de CVE spécifiques liées à ConnectWise ScreenConnect ou à AsyncRAT. L’exploitation repose sur l’utilisation abusive de fonctionnalités légitimes et sur l’ingénierie sociale (installateurs trojanisés envoyés par phishing).

Recommandations:

Se méfier des emails de phishing contenant des documents financiers ou commerciaux comme pièces jointes.
Maintenir à jour les logiciels de sécurité et de surveillance.
Surveiller les activités inhabituelles sur les systèmes et les tentatives d’exécution de scripts suspects.
Être vigilant quant à la création de tâches planifiées inconnues.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

AsyncRAT Exploits ConnectWise ScreenConnect to Steal Credentials and Crypto

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast