NetSupport RAT utplacerad mot flera mål

Sektorerna för utbildning, myndigheter och företagstjänster är för närvarande hotade av illvilliga aktörer som använder en trojan för fjärråtkomst som heter NetSupport RAT. Enligt en rapport från VMware Carbon Black-forskare som delas med The Hacker News inkluderar leveransmetoderna för denna trojan vilseledande uppdateringar, drive-by-nedladdningar, användning av skadlig programvara som GHOSTPULSE och olika nätfiskekampanjer.

NetSupport RAT får över ett dussin träffar

Under de senaste veckorna har cybersäkerhetsföretaget identifierat minst 15 nya infektioner associerade med NetSupport RAT. Ursprungligen designad som ett legitimt verktyg för fjärradministration, har NetSupport Manager utnyttjats av skadliga enheter och gjort det till en gateway för efterföljande attacker. Trojanen infiltreras vanligtvis i ett offers dator genom vilseledande webbplatser och förfalskade webbläsaruppdateringar.

Sucuri lyfte fram en kampanj från augusti 2022 som involverade komprometterade WordPress-webbplatser som visade falska Cloudflare DDoS-skyddssidor, vilket i slutändan ledde till distributionen av NetSupport RAT.

Strategin att använda bedrägliga webbläsaruppdateringar överensstämmer med taktiken förknippad med SocGholish, en JavaScript-baserad skadlig programvara för nedladdning. Denna skadliga programvara har observerats sprida en skadlig programvara för loader som heter BLISTER.

JavaScript-nyttolasten utlöser PowerShell för att upprätta en anslutning till en fjärrserver och hämtar en ZIP-arkivfil som innehåller NetSupport RAT. När den väl har installerats kommunicerar trojanen med en kommando-och-kontroll-server (C2). Med NetSupport RAT på ett offers enhet får illvilliga aktörer möjligheten att övervaka aktiviteter, överföra filer, ändra datorkonfigurationer och sprida sig till andra enheter inom nätverket, enligt forskarna.