NetSupport RAT implementado contra múltiples objetivos

Los sectores de educación, gobierno y servicios empresariales se encuentran actualmente amenazados por actores maliciosos que emplean un troyano de acceso remoto llamado NetSupport RAT. Según un informe de los investigadores de VMware Carbon Black compartido con The Hacker News, los métodos de entrega de este troyano incluyen actualizaciones engañosas, descargas no autorizadas, el uso de cargadores de malware como GHOSTPULSE y varias campañas de phishing.

NetSupport RAT obtiene más de una docena de visitas

En las últimas semanas, la firma de ciberseguridad ha identificado al menos 15 nuevas infecciones asociadas con NetSupport RAT. NetSupport Manager, originalmente diseñado como una herramienta legítima de administración remota, ha sido explotado por entidades maliciosas, convirtiéndolo en una puerta de entrada para ataques posteriores. El troyano suele infiltrarse en el ordenador de la víctima a través de sitios web engañosos y actualizaciones de navegador falsificadas.

Sucuri destacó una campaña de agosto de 2022 que involucró sitios de WordPress comprometidos que mostraban páginas falsas de protección DDoS de Cloudflare, lo que finalmente condujo a la distribución de NetSupport RAT.

La estrategia de emplear actualizaciones fraudulentas del navegador web se alinea con las tácticas asociadas con SocGholish, un malware de descarga basado en JavaScript. Se ha observado que este malware propaga un malware de carga llamado BLISTER.

La carga útil de JavaScript activa PowerShell para establecer una conexión con un servidor remoto, recuperando un archivo ZIP que contiene NetSupport RAT. Una vez instalado, el troyano se comunica con un servidor de comando y control (C2). Con NetSupport RAT en el dispositivo de una víctima, los actores maliciosos obtienen la capacidad de monitorear actividades, transferir archivos, alterar configuraciones de computadora y propagarse a otros dispositivos dentro de la red, según los investigadores.