NetSupport RAT implementeret mod flere mål

Uddannelses-, regerings- og erhvervsservicesektorer er i øjeblikket truet af ondsindede aktører, der anvender en fjernadgangstrojan ved navn NetSupport RAT. Ifølge en rapport fra VMware Carbon Black-forskere delt med The Hacker News inkluderer leveringsmetoderne for denne trojan vildledende opdateringer, drive-by-downloads, brugen af malware-indlæsere som GHOSTPULSE og forskellige phishing-kampagner.

NetSupport RAT scorer over et dusin hits

I de seneste par uger har cybersikkerhedsfirmaet identificeret mindst 15 nye infektioner forbundet med NetSupport RAT. Oprindeligt designet som et legitimt fjernadministrationsværktøj, er NetSupport Manager blevet udnyttet af ondsindede entiteter og har gjort det til en gateway for efterfølgende angreb. Trojaneren er almindeligvis infiltreret i et offers computer gennem vildledende websteder og falske browseropdateringer.

Sucuri fremhævede en kampagne fra august 2022, der involverede kompromitterede WordPress-websteder, der viste falske Cloudflare DDoS-beskyttelsessider, hvilket i sidste ende førte til distributionen af NetSupport RAT.

Strategien med at anvende svigagtige webbrowseropdateringer stemmer overens med taktikken forbundet med SocGholish, en JavaScript-baseret downloader-malware. Denne malware er blevet observeret sprede en loader-malware ved navn BLISTER.

JavaScript-nyttelasten udløser PowerShell til at etablere en forbindelse med en ekstern server, og henter en ZIP-arkivfil, der indeholder NetSupport RAT. Når den er installeret, kommunikerer trojaneren med en kommando-og-kontrol-server (C2). Med NetSupport RAT på et offers enhed får ondsindede aktører evnen til at overvåge aktiviteter, overføre filer, ændre computerkonfigurationer og sprede sig til andre enheder inden for netværket, ifølge forskerne.