NetSupport RAT distribuito contro più obiettivi

I settori dell'istruzione, del governo e dei servizi alle imprese sono attualmente minacciati da attori malintenzionati che utilizzano un trojan di accesso remoto denominato NetSupport RAT. Secondo un rapporto dei ricercatori di VMware Carbon Black condiviso con The Hacker News, i metodi di distribuzione di questo trojan includono aggiornamenti ingannevoli, download drive-by, l'uso di caricatori di malware come GHOSTPULSE e varie campagne di phishing.

NetSupport RAT ottiene oltre una dozzina di risultati

Nelle ultime settimane, la società di sicurezza informatica ha identificato almeno 15 nuove infezioni associate a NetSupport RAT. Originariamente progettato come strumento legittimo di amministrazione remota, NetSupport Manager è stato sfruttato da entità maligne, trasformandolo in un gateway per attacchi successivi. Il trojan viene comunemente infiltrato nel computer della vittima attraverso siti Web ingannevoli e aggiornamenti di browser contraffatti.

Sucuri ha evidenziato una campagna dell'agosto 2022 che coinvolgeva siti WordPress compromessi che mostravano pagine di protezione DDoS Cloudflare false, portando infine alla distribuzione di NetSupport RAT.

La strategia di utilizzare aggiornamenti fraudolenti del browser Web è in linea con le tattiche associate a SocGholish, un malware downloader basato su JavaScript. È stato osservato che questo malware diffonde un malware di caricamento denominato BLISTER.

Il payload JavaScript attiva PowerShell per stabilire una connessione con un server remoto, recuperando un file di archivio ZIP contenente NetSupport RAT. Una volta installato, il trojan comunica con un server di comando e controllo (C2). Secondo i ricercatori, con NetSupport RAT sul dispositivo di una vittima, gli autori malintenzionati acquisiscono la capacità di monitorare le attività, trasferire file, alterare le configurazioni del computer e propagarsi ad altri dispositivi all'interno della rete.