NetSupport RAT implantado em múltiplos alvos

Os setores de educação, governo e serviços empresariais estão atualmente sob ameaça de atores mal-intencionados que empregam um trojan de acesso remoto chamado NetSupport RAT. De acordo com um relatório dos pesquisadores do VMware Carbon Black compartilhado com o The Hacker News, os métodos de entrega desse trojan incluem atualizações enganosas, downloads drive-by, o uso de carregadores de malware como o GHOSTPULSE e várias campanhas de phishing.

NetSupport RAT pontua mais de uma dúzia de acessos

Nas últimas semanas, a empresa de segurança cibernética identificou pelo menos 15 novas infecções associadas ao NetSupport RAT. Originalmente concebido como uma ferramenta legítima de administração remota, o NetSupport Manager foi explorado por entidades maliciosas, transformando-o numa porta de entrada para ataques subsequentes. O trojan é comumente infiltrado no computador da vítima por meio de sites enganosos e atualizações de navegador falsificadas.

A Sucuri destacou uma campanha de agosto de 2022 envolvendo sites WordPress comprometidos que exibiam páginas falsas de proteção DDoS da Cloudflare, levando à distribuição do NetSupport RAT.

A estratégia de empregar atualizações fraudulentas do navegador da web está alinhada com as táticas associadas ao SocGholish, um malware de download baseado em JavaScript. Este malware foi observado espalhando um malware carregador chamado BLISTER.

A carga JavaScript aciona o PowerShell para estabelecer uma conexão com um servidor remoto, recuperando um arquivo ZIP contendo NetSupport RAT. Uma vez instalado, o trojan se comunica com um servidor de comando e controle (C2). Com o NetSupport RAT no dispositivo da vítima, os agentes mal-intencionados ganham a capacidade de monitorar atividades, transferir arquivos, alterar configurações do computador e propagar-se para outros dispositivos na rede, de acordo com os pesquisadores.