NetSupport RAT ingezet tegen meerdere doelen
De sectoren onderwijs, overheid en zakelijke dienstverlening worden momenteel bedreigd door kwaadwillende actoren die gebruik maken van een trojan voor externe toegang, genaamd NetSupport RAT. Volgens een rapport van VMware Carbon Black-onderzoekers gedeeld met The Hacker News omvatten de leveringsmethoden voor deze trojan misleidende updates, drive-by downloads, het gebruik van malware-laders zoals GHOSTPULSE en verschillende phishing-campagnes.
NetSupport RAT scoort meer dan een dozijn hits
De afgelopen weken heeft het cyberbeveiligingsbedrijf minstens 15 nieuwe infecties geïdentificeerd die verband houden met NetSupport RAT. Oorspronkelijk ontworpen als een legitiem hulpmiddel voor extern beheer, werd NetSupport Manager misbruikt door kwaadwillende entiteiten, waardoor het een toegangspoort werd voor volgende aanvallen. De trojan wordt vaak op de computer van het slachtoffer geïnfiltreerd via misleidende websites en valse browserupdates.
Sucuri benadrukte een campagne uit augustus 2022 waarbij gecompromitteerde WordPress-sites betrokken waren die valse Cloudflare DDoS-beveiligingspagina's vertoonden, wat uiteindelijk leidde tot de distributie van NetSupport RAT.
De strategie van het gebruik van frauduleuze webbrowserupdates komt overeen met de tactieken die verband houden met SocGholish, een op JavaScript gebaseerde downloader-malware. Er is waargenomen dat deze malware een loader-malware verspreidt met de naam BLISTER.
De JavaScript-payload zorgt ervoor dat PowerShell een verbinding tot stand brengt met een externe server, waarbij een ZIP-archiefbestand met NetSupport RAT wordt opgehaald. Eenmaal geïnstalleerd communiceert de trojan met een command-and-control (C2)-server. Met NetSupport RAT op het apparaat van een slachtoffer krijgen kwaadwillende actoren de mogelijkheid om activiteiten te monitoren, bestanden over te dragen, computerconfiguraties te wijzigen en zich te verspreiden naar andere apparaten binnen het netwerk, aldus de onderzoekers.
