NetSupport RAT rozmieszczony przeciwko wielu celom

Sektory edukacji, instytucji rządowych i usług biznesowych są obecnie zagrożone ze strony złośliwych aktorów wykorzystujących trojana zdalnego dostępu o nazwie NetSupport RAT. Według raportu badaczy VMware Carbon Black udostępnionego The Hacker News metody dostarczania tego trojana obejmują zwodnicze aktualizacje, pobieranie dyskowe, korzystanie z modułów ładujących złośliwe oprogramowanie, takie jak GHOSTPULSE, a także różne kampanie phishingowe.

NetSupport RAT zdobywa ponad tuzin trafień

W ciągu ostatnich kilku tygodni firma zajmująca się cyberbezpieczeństwem zidentyfikowała co najmniej 15 nowych infekcji związanych z NetSupport RAT. Pierwotnie zaprojektowany jako legalne narzędzie do zdalnej administracji, NetSupport Manager został wykorzystany przez złośliwe podmioty, zamieniając go w bramę dla kolejnych ataków. Trojan jest powszechnie infiltrowany do komputera ofiary poprzez zwodnicze strony internetowe i fałszywe aktualizacje przeglądarki.

Sucuri zwrócił uwagę na kampanię z sierpnia 2022 r. obejmującą zaatakowane witryny WordPress, które wyświetlały fałszywe strony ochrony Cloudflare przed atakami DDoS, co ostatecznie doprowadziło do dystrybucji NetSupport RAT.

Strategia wykorzystywania fałszywych aktualizacji przeglądarki internetowej jest zgodna z taktyką związaną z SocGholish, złośliwym oprogramowaniem pobierającym opartym na JavaScript. Zaobserwowano, że to złośliwe oprogramowanie rozprzestrzeniało szkodliwe oprogramowanie ładujące o nazwie BLISTER.

Ładunek JavaScript wyzwala PowerShell w celu nawiązania połączenia ze zdalnym serwerem, pobierając plik archiwum ZIP zawierający NetSupport RAT. Po zainstalowaniu trojan komunikuje się z serwerem dowodzenia i kontroli (C2). Zdaniem badaczy, dzięki NetSupport RAT na urządzeniu ofiary złośliwi przestępcy zyskują możliwość monitorowania działań, przesyłania plików, zmiany konfiguracji komputera i rozprzestrzeniania się na inne urządzenia w sieci.