NetSupport RAT utplassert mot flere mål

Sektorer for utdanning, myndigheter og forretningstjenester er for tiden truet av ondsinnede aktører som bruker en fjerntilgangstrojaner kalt NetSupport RAT. I følge en rapport fra VMware Carbon Black-forskere delt med The Hacker News, inkluderer leveringsmetodene for denne trojaneren villedende oppdateringer, drive-by-nedlastinger, bruk av malware-lastere som GHOSTPULSE og ulike phishing-kampanjer.

NetSupport RAT scorer over et dusin treff

I løpet av de siste ukene har cybersikkerhetsfirmaet identifisert minst 15 nye infeksjoner assosiert med NetSupport RAT. Opprinnelig designet som et legitimt eksternt administrasjonsverktøy, har NetSupport Manager blitt utnyttet av ondsinnede enheter, og har gjort det til en inngangsport for påfølgende angrep. Trojaneren blir ofte infiltrert inn i et offers datamaskin gjennom villedende nettsteder og falske nettleseroppdateringer.

Sucuri fremhevet en kampanje fra august 2022 som involverte kompromitterte WordPress-nettsteder som viste falske Cloudflare DDoS-beskyttelsessider, noe som til slutt førte til distribusjon av NetSupport RAT.

Strategien med å bruke uredelige nettleseroppdateringer er i tråd med taktikken knyttet til SocGholish, en JavaScript-basert nedlastningsskadelig programvare. Denne skadelige programvaren har blitt observert spre en loader-malware kalt BLISTER.

JavaScript-nyttelasten utløser PowerShell til å etablere en forbindelse med en ekstern server, og henter en ZIP-arkivfil som inneholder NetSupport RAT. Når den er installert, kommuniserer trojaneren med en kommando-og-kontroll-server (C2). Med NetSupport RAT på et offers enhet, får ondsinnede aktører muligheten til å overvåke aktiviteter, overføre filer, endre datamaskinkonfigurasjoner og forplante seg til andre enheter i nettverket, ifølge forskerne.