NetSupport RAT wurde gegen mehrere Ziele eingesetzt

Der Bildungs-, Regierungs- und Unternehmensdienstleistungssektor wird derzeit von böswilligen Akteuren bedroht, die einen Fernzugriffstrojaner namens NetSupport RAT einsetzen. Laut einem Bericht von VMware Carbon Black-Forschern, der The Hacker News zur Verfügung gestellt wurde, umfassen die Verbreitungsmethoden dieses Trojaners betrügerische Updates, Drive-by-Downloads, die Verwendung von Malware-Loadern wie GHOSTPULSE und verschiedene Phishing-Kampagnen.

NetSupport RAT erzielt über ein Dutzend Treffer

In den letzten Wochen hat das Cybersicherheitsunternehmen mindestens 15 neue Infektionen im Zusammenhang mit NetSupport RAT identifiziert. Ursprünglich als legitimes Fernverwaltungstool konzipiert, wurde NetSupport Manager von böswilligen Einheiten ausgenutzt und in ein Einfallstor für nachfolgende Angriffe verwandelt. Der Trojaner wird häufig über betrügerische Websites und gefälschte Browser-Updates in den Computer eines Opfers eingeschleust.

Sucuri hob eine Kampagne vom August 2022 hervor, bei der es um kompromittierte WordPress-Seiten ging, auf denen gefälschte Cloudflare-DDoS-Schutzseiten angezeigt wurden, was letztendlich zur Verbreitung von NetSupport RAT führte.

Die Strategie, betrügerische Webbrowser-Updates einzusetzen, steht im Einklang mit den Taktiken von SocGholish, einer JavaScript-basierten Downloader-Malware. Es wurde beobachtet, dass diese Malware eine Loader-Malware namens BLISTER verbreitet.

Die JavaScript-Payload veranlasst PowerShell, eine Verbindung mit einem Remote-Server herzustellen und eine ZIP-Archivdatei mit NetSupport RAT abzurufen. Nach der Installation kommuniziert der Trojaner mit einem Command-and-Control-Server (C2). Mit NetSupport RAT auf dem Gerät eines Opfers erhalten böswillige Akteure die Möglichkeit, Aktivitäten zu überwachen, Dateien zu übertragen, Computerkonfigurationen zu ändern und sich auf andere Geräte im Netzwerk auszubreiten, so die Forscher.