A NetSupport RAT több cél ellen is telepítve

Az oktatási, kormányzati és üzleti szolgáltatási szektort jelenleg a NetSupport RAT nevű távoli hozzáférésű trójai programot alkalmazó rosszindulatú szereplők fenyegetik. A VMware Carbon Black kutatóinak a The Hacker News-szal megosztott jelentése szerint ennek a trójainak a kézbesítési módjai közé tartoznak a megtévesztő frissítések, a gyors letöltések, a rosszindulatú programok, például a GHOSTPULSE, valamint a különféle adathalász kampányok.

A NetSupport RAT több mint egy tucat találatot ér el

Az elmúlt hetekben a kiberbiztonsági cég legalább 15 új fertőzést azonosított a NetSupport RAT-tal kapcsolatban. Az eredetileg legitim távoli adminisztrációs eszköznek tervezett NetSupport Managert rosszindulatú entitások kihasználták, átjáróvá alakítva a későbbi támadásokhoz. A trójai rendszerint megtévesztő webhelyeken és hamisított böngészőfrissítéseken keresztül szivárog be az áldozat számítógépére.

A Sucuri kiemelt egy 2022. augusztusi kampányt, amely olyan feltört WordPress-webhelyeket érintett, amelyek hamis Cloudflare DDoS védelmi oldalakat jelenítettek meg, ami végül a NetSupport RAT terjesztéséhez vezetett.

A csalárd webböngésző-frissítések alkalmazásának stratégiája összhangban van a SocGholish, egy JavaScript-alapú letöltő rosszindulatú program taktikájával. Megfigyelték, hogy ez a rosszindulatú program egy BLISTER nevű betöltő rosszindulatú programot terjeszt.

A JavaScript hasznos adattartalma elindítja a PowerShellt, hogy kapcsolatot létesítsen egy távoli kiszolgálóval, lekérve a NetSupport RAT-ot tartalmazó ZIP-archívum fájlt. A telepítés után a trójai kommunikál egy parancs- és vezérlőkiszolgálóval (C2). A kutatók szerint a NetSupport RAT segítségével az áldozat eszközén a rosszindulatú szereplők képesek lesznek tevékenységek figyelésére, fájlok átvitelére, számítógép-konfiguráció módosítására és a hálózaton belüli más eszközökre való terjedésre.