A NetSupport RAT több cél ellen is telepítve
Az oktatási, kormányzati és üzleti szolgáltatási szektort jelenleg a NetSupport RAT nevű távoli hozzáférésű trójai programot alkalmazó rosszindulatú szereplők fenyegetik. A VMware Carbon Black kutatóinak a The Hacker News-szal megosztott jelentése szerint ennek a trójainak a kézbesítési módjai közé tartoznak a megtévesztő frissítések, a gyors letöltések, a rosszindulatú programok, például a GHOSTPULSE, valamint a különféle adathalász kampányok.
A NetSupport RAT több mint egy tucat találatot ér el
Az elmúlt hetekben a kiberbiztonsági cég legalább 15 új fertőzést azonosított a NetSupport RAT-tal kapcsolatban. Az eredetileg legitim távoli adminisztrációs eszköznek tervezett NetSupport Managert rosszindulatú entitások kihasználták, átjáróvá alakítva a későbbi támadásokhoz. A trójai rendszerint megtévesztő webhelyeken és hamisított böngészőfrissítéseken keresztül szivárog be az áldozat számítógépére.
A Sucuri kiemelt egy 2022. augusztusi kampányt, amely olyan feltört WordPress-webhelyeket érintett, amelyek hamis Cloudflare DDoS védelmi oldalakat jelenítettek meg, ami végül a NetSupport RAT terjesztéséhez vezetett.
A csalárd webböngésző-frissítések alkalmazásának stratégiája összhangban van a SocGholish, egy JavaScript-alapú letöltő rosszindulatú program taktikájával. Megfigyelték, hogy ez a rosszindulatú program egy BLISTER nevű betöltő rosszindulatú programot terjeszt.
A JavaScript hasznos adattartalma elindítja a PowerShellt, hogy kapcsolatot létesítsen egy távoli kiszolgálóval, lekérve a NetSupport RAT-ot tartalmazó ZIP-archívum fájlt. A telepítés után a trójai kommunikál egy parancs- és vezérlőkiszolgálóval (C2). A kutatók szerint a NetSupport RAT segítségével az áldozat eszközén a rosszindulatú szereplők képesek lesznek tevékenységek figyelésére, fájlok átvitelére, számítógép-konfiguráció módosítására és a hálózaton belüli más eszközökre való terjedésre.