NetSupport RAT развернут на нескольких объектах

Секторы образования, государственного управления и бизнес-услуг в настоящее время находятся под угрозой со стороны злоумышленников, использующих трояна удаленного доступа под названием NetSupport RAT. Согласно отчету исследователей VMware Carbon Black, предоставленному The Hacker News, способы доставки этого трояна включают обманные обновления, попутные загрузки, использование загрузчиков вредоносных программ, таких как GHOSTPULSE, и различные фишинговые кампании.

NetSupport RAT набрал более дюжины результатов

За последние несколько недель фирма по кибербезопасности выявила как минимум 15 новых заражений, связанных с NetSupport RAT. Первоначально разработанный как законный инструмент удаленного администрирования, NetSupport Manager был использован злоумышленниками, превратив его в шлюз для последующих атак. Троян обычно проникает на компьютер жертвы через мошеннические веб-сайты и поддельные обновления браузера.

Сукури рассказал о кампании августа 2022 года, включавшей взломанные сайты WordPress, на которых отображались поддельные страницы защиты от DDoS-атак Cloudflare, что в конечном итоге привело к распространению NetSupport RAT.

Стратегия использования мошеннических обновлений веб-браузера совпадает с тактикой, связанной с SocGholish, вредоносным ПО-загрузчиком на основе JavaScript. Было замечено, что это вредоносное ПО распространяет вредоносное ПО-загрузчик под названием BLISTER.

Полезная нагрузка JavaScript запускает PowerShell для установления соединения с удаленным сервером, получая ZIP-архивный файл, содержащий NetSupport RAT. После установки троян взаимодействует с сервером управления (C2). По мнению исследователей, благодаря NetSupport RAT на устройстве жертвы злоумышленники получают возможность отслеживать действия, передавать файлы, изменять конфигурации компьютера и распространяться на другие устройства в сети.