Startsida Datorer & mjukvara Hackare klonar populära gratisprogram: Laddar du ner OBS Studio eller...

Hackare klonar populära gratisprogram: Laddar du ner OBS Studio eller DS4Windows från fel sida infekteras datorn

Hackare klonar populära gratisprogram: Laddar du ner OBS Studio eller DS4Windows från fel sida infekteras datorn
Levererat av Teksajten

Säkerhetsforskare har hittat över 90 falska nedladdningssidor som infekterar Windows-datorer med fjärrstyrningstrojan.

Kampanjen riktar sig mot användare som söker efter gratisprogrammen OBS Studio, DS4Windows, DNS Jumper och Bandicam via Google. Klickar du på fel träff installeras trojanen AsyncRAT, som ger angriparen full kontroll över datorn.

Larmet kommer från det ryska säkerhetsföretaget Kaspersky, som beskriver operationen som en ”omfattande, flerdomän- och flerspråkig kampanj”. Fler än 90 domäner har identifierats, lokaliserade på tio språk, däribland engelska, ryska, kinesiska, tyska, franska, spanska, portugisiska och arabiska. Domänerna har registrerats mellan augusti 2025 och mars 2026.

För svenska streamers, spelare och PlayStation-kontrollsägare är risken konkret. OBS Studio används av hundratusentals streamers och innehållsskapare, och DS4Windows är standardverktyget för den som vill använda en DualShock- eller DualSense-kontroll till PC-spel. Båda grupperna söker regelbundet efter nya versioner via sökmotorer.

Så fungerar bedrägeriet

Angriparna använder så kallad SEO-förgiftning, en teknik som pressar upp falska sidor högt i Googles sökresultat genom manipulerad sökmotoroptimering. Sidorna är tekniskt övertygande och ser ut som originalens nedladdningssidor.

Själva installationspaketet är slugt utformat. Enligt Kasperskys forskare Denis Kulik innehåller det en äkta, Microsoft-signerad installationsfil kombinerad med ett skadligt bibliotek vid namn install.res.1033.dll. Eftersom den signerade filen är legitim missar antivirusprogram ofta det som händer runt omkring.

När installationen körs används en teknik kallad DLL-sidladdning för att smyga in fjärrstyrningsverktyget ScreenConnect på datorn. Det öppnar sedan bakvägen för nästa steg: ett PowerShell-skript inaktiverar UAC och lägger in undantag i Windows Defender, varefter själva AsyncRAT-trojanen packas upp och startas via en teknik som kallas process hollowing.

Full fjärrkontroll och skärminspelning

När allt är på plats ansluter datorn till en server på adressen mora1987.work.gd och angriparen får möjlighet att styra maskinen på distans, stjäla filer och spela in vad som sker på skärmen. En schemalagd uppgift startar om trojanen varannan minut, vilket gör den svår att bli av med genom en enkel omstart.

Målet är brett: allt från inloggningsuppgifter till spelkonton, kryptovalutaplånböcker och privata dokument kan hamna i angriparens händer.

Så känner du igen den äkta sidan

Enklaste skyddet är att aldrig klicka på den första bästa träffen i Google. Skriv istället in den officiella adressen direkt i webbläsaren.

  • OBS Studio: ladda ner från obsproject.com/download. Alla andra domäner som utger sig för att vara OBS är misstänkta.

  • DS4Windows: originalet finns på Ryochan7:s GitHub-sida på github.com/Ryochan7/DS4Windows. Det är den enda källa utvecklaren själv står bakom.

  • DNS Jumper och Bandicam: använd tillverkarens officiella webbplats. Kontrollera stavning noga – angriparna använder domäner som ser nästan identiska ut med rätt sida.

Praktisk checklista innan du klickar på ladda ner:

  1. Titta i adressfältet. Har URL:en extra ord, bindestreck eller siffror som inte hör hemma där – avbryt.

  2. Kontrollera att sidan har HTTPS och ett giltigt certifikat, men lita inte enbart på hänglåset. Även bedrägerisidor har HTTPS.

  3. Jämför med utvecklarens officiella konton på GitHub, Twitter eller Discord. De länkar alltid till rätt nedladdningssida.

  4. Använd VirusTotal för att skanna filen innan du kör den.

  5. Var extra vaksam om sidan pressar dig att stänga av antivirus eller UAC för att kunna installera. Legitima gratisprogram gör aldrig det.

Kampanjen är fortsatt aktiv, och nya domäner tillkommer löpande. Så länge det finns nybörjare som söker efter kända programnamn kommer det finnas hackare som placerar sina fällor mellan användaren och den äkta sidan.

Ads by MGDK