Cyberprzestępcy coraz częściej wykorzystują pomijane typy plików systemu Windows, aby ominąć zabezpieczenia, a nowo zaobserwowana kampania pokazuje, jak coś tak prozaicznego jak wygaszacz ekranu może stać się potężnym mechanizmem dostarczania złośliwego oprogramowania.
Według najnowszych badań opublikowanych przez ReliaQuest, osoby odpowiedzialne za zagrożenia wykorzystują pliki wygaszaczy ekranu systemu Windows (.scr) w ramach ukierunkowanych kampanii phishingowych, aby uzyskać stały, interaktywny dostęp do środowisk korporacyjnych. Ukrywając złośliwe pliki wykonywalne pod postacią nieszkodliwych wygaszaczy ekranu, atakujący wykorzystują długotrwałą rozbieżność między tym, jak użytkownicy postrzegają określone typy plików, a tym, jak system Windows faktycznie je obsługuje.
Pomimo swojej łagodnie brzmiącej nazwy, pliki Windows .scr nie są plikami konfiguracyjnymi ani zasobami multimedialnymi. Są to w pełni funkcjonalne pliki binarne Portable Executable (PE), co oznacza, że mogą one wykonywać dowolny kod, podobnie jak pliki .exe. Jednak wiele zabezpieczeń — i wielu użytkowników — nie traktuje ich z taką samą podejrzliwością.
Andrew Adams, badacz z ReliaQuest, wyjaśnia, że ta luka stwarza znaczącą powierzchnię ataku. Pliki wygaszaczy ekranu często omijają zasady kontroli aplikacji, reguły filtrowania poczty elektronicznej, a nawet zabezpieczenia punktów końcowych, które są ściśle dostosowane do wykrywania tradycyjnych formatów plików wykonywalnych.
W praktyce oznacza to, że osoba atakująca może dostarczyć złośliwy ładunek w formacie, który:
- wygląda raczej nieznajomo niż niebezpiecznie
- jest mniej prawdopodobne, że zostanie wyraźnie zablokowany przez domyślne reguły bezpieczeństwa
- wykorzystuje ciekawość lub samozadowolenie użytkownika
Technika ta wpisuje się w szerszy trend współczesnych ataków: wykorzystywanie legalnych funkcji zamiast luk w zabezpieczeniach oprogramowania.
Łańcuch ataków zaobserwowany przez ReliaQuest rozpoczyna się od wiadomości e-mail typu spear phishing o tematyce biznesowej, często podszywającej się pod fakturę, aktualizację projektu lub prośbę o przegląd dokumentu wewnętrznego. Wiadomość zawiera link do pliku wygaszacza ekranu hostowanego na konsumenckiej platformie przechowywania danych w chmurze poza organizacją ofiary.
Po pobraniu i uruchomieniu plik .scr instaluje legalnego agenta zdalnego monitorowania i zarządzania (RMM) — konkretnie komercyjne narzędzie JWrapper. Następnie atakujący łączy się z zainfekowanym systemem, korzystając ze standardowych funkcji RMM.
Takie podejście ma kilka zalet dla atakujących:
- Nie wymaga niestandardowego złośliwego oprogramowania.
- Wymaga minimalnej infrastruktury należącej do atakującego.
- Zmniejsza prawdopodobieństwo wywołania sygnatur złośliwego oprogramowania.
- Zapewnia natychmiastowy interaktywny dostęp do systemu ofiary.
Ponieważ narzędzia RMM są szeroko stosowane przez zespoły IT, ich obecność może początkowo nie budzić podejrzeń — zwłaszcza w organizacjach, które nie stosują rygorystycznych zasad dotyczących listy dozwolonych programów.
Badacze zajmujący się bezpieczeństwem często opisują te kampanie jako przykłady technik typu „living-off-the-land”, w których atakujący wykorzystują zaufane narzędzia i usługi zamiast wprowadzać oczywiste złośliwe oprogramowanie. Wykorzystywanie oprogramowania RMM stało się szczególnie powszechne w operacjach związanych z oprogramowaniem ransomware i szpiegostwem w ciągu ostatnich kilku lat.
Po zainstalowaniu narzędzie RMM zapewnia atakującym:
- Stały dostęp po ponownym uruchomieniu komputera.
- Pełną interakcję z pulpitem.
- Możliwości przesyłania plików.
- Wykonywanie poleceń i rozpoznanie systemu.
Na tej podstawie kolejne działania mogą obejmować zbieranie danych uwierzytelniających, ruchy boczne, eksfiltrację danych lub ostateczne wdrożenie oprogramowania ransomware.
Jak zauważa Adams, ten model dostarczania jest bardzo elastyczny. Atakujący mogą łatwo zamienić:
- Przynętę phishingową
- Dostawcę usług hostingowych w chmurze
- Samo narzędzie RMM
Jednak podstawowy przebieg pracy pozostaje taki sam, dzięki czemu jest on skalowalny i odporny na fragmentaryczne ulepszenia obronne.
Chociaż metoda dostarczania oparta na wygaszaczu ekranu może wydawać się nowatorska, wpisuje się ona w dobrze ugruntowany schemat. Zaawansowane grupy przestępcze wykorzystywały już wcześniej pliki skrótów Windows (.lnk), obrazy ISO, przemyt HTML i podpisane instalatory, aby osiągnąć podobne rezultaty.
W rzeczywistości firma ReliaQuest zwraca uwagę, że jeszcze w sierpniu 2025 r. atakujący wykorzystali pliki .scr do wdrożenia trojana zdalnego dostępu GodRAT przeciwko instytucjom finansowym, co pokazuje, że taktyka ta nie jest ani teoretyczna, ani krótkotrwała.
Brak przypisania odpowiedzialności za obecną kampanię dodatkowo podkreśla jej oportunistyczny charakter. Ponieważ atakujący polegają na konsumenckich platformach chmurowych i zmieniają infrastrukturę wychodzącą, nie ma spójnego numeru autonomicznego systemu (ASN) ani sygnatury sieciowej, które pozwoliłyby powiązać tę działalność z konkretną grupą zagrożeń.
Według ReliaQuest sugeruje to raczej działania podmiotów motywowanych finansowo niż pojedyncze, ściśle zorganizowane zaawansowane trwałe zagrożenie (APT).
Kampania zwraca uwagę na kilka niewygodnych dla „obrońców” faktów:
- Zaufanie do typów plików jest często nieaktualne.
- Legalne narzędzia można z łatwością wykorzystać jako broń.
- Usługi w chmurze zacierają tradycyjną widoczność granic.
Wiele organizacji koncentruje się głównie na blokowaniu złośliwego oprogramowania, ale znacznie mniej skupia się na kontrolowaniu, jakie legalne oprogramowanie może być uruchamiane i dlaczego.
ReliaQuest zaleca wielopoziomową strategię reagowania, skupiającą się zarówno na kontrolach technicznych, jak i egzekwowaniu zasad:
1. Traktowanie wygaszaczy ekranu jako plików wykonywalnych Zespoły ds. bezpieczeństwa powinny wyraźnie klasyfikować pliki .scr jako pliki wykonywalne w ramach zabezpieczeń punktów końcowych i kontroli aplikacji. Narzędzia takie jak Windows Defender mogą ograniczać wykonywanie tylko do podpisanych lub zatwierdzonych plików binarnych.
2. Ścisła kontrola wykorzystania RMM Organizacje powinny utrzymywać jasno określoną listę zatwierdzonych narzędzi RMM i aktywnie ostrzegać o nieautoryzowanych instalacjach agentów. Każde wdrożenie RMM poza procesami IT powinno być traktowane jako incydent o wysokim stopniu zagrożenia.
3. Ograniczanie narażenia na hosting plików konsumenckich Blokowanie lub ścisła kontrola dostępu do niebiznesowych usług przechowywania danych w chmurze na poziomie DNS lub proxy może znacznie zmniejszyć skuteczność kampanii phishingowych opartych na zewnętrznych plikach do pobrania.
Ataki oparte na wygaszaczach ekranu raczej nie znikną. Dopóki istnieją formaty plików wykonywalnych, które nie mieszczą się w wąskiej definicji „niebezpiecznych” w narzędziach zabezpieczających, atakujący będą je wykorzystywać.
Opisywana kampania przypomina, że współczesna cyberobrona polega nie tyle na ściganiu rodzin złośliwego oprogramowania, ile na zrozumieniu, w jaki sposób można nadużyć legalnych funkcji. Różnica między nieszkodliwym wygaszaczem ekranu a całkowicie zainfekowanym systemem może sprowadzać się do jednego kliknięcia — i jednego przeoczonego rozszerzenia pliku.
Zainteresowanych pełną treścią raportu zapraszamy tutaj: New Campaign Uses Screensavers for RMM-Based Persistence
