Gli attori delle minacce stanno prendendo di mira i settori dell’educazione, del governo e dei servizi aziendali con un trojan di accesso remoto chiamato NetSupport RAT. Secondo i ricercatori di VMware Carbon Black, i meccanismi di consegna includono aggiornamenti fraudolenti, download drive-by, l’utilizzo di loader di malware (come GHOSTPULSE) e varie forme di campagne di phishing. La società di cybersecurity ha rilevato non meno di 15 nuove infezioni legate al RAT nelle ultime settimane.
NetSupport RAT: da Strumento legittimo a minaccia
Originariamente, NetSupport Manager era uno strumento legittimo di amministrazione remota per assistenza tecnica e supporto. Tuttavia, gli attori malintenzionati hanno deviato lo strumento a proprio vantaggio, utilizzandolo come punto di appoggio per attacchi successivi. NetSupport RAT viene tipicamente scaricato sul computer di una vittima tramite siti web ingannevoli e falsi aggiornamenti del browser.
Campagne fraudolente e tecniche di distribuzione
Nell’agosto 2022, Sucuri ha dettagliato una campagna in cui siti WordPress compromessi venivano utilizzati per visualizzare pagine fraudolente di protezione DDoS di Cloudflare, che portavano alla distribuzione di NetSupport RAT. L’uso di falsi aggiornamenti del browser web è una tattica spesso associata al dispiegamento di un malware downloader basato su JavaScript noto come SocGholish (o FakeUpdates), che è stato osservato anche nella diffusione di un malware loader chiamato BLISTER.
Impatto e capacità di NetSupport RAT
Una volta installato sul dispositivo di una vittima, NetSupport è in grado di monitorare il comportamento, trasferire file, manipolare le impostazioni del computer e spostarsi su altri dispositivi all’interno della rete. Il payload JavaScript invoca successivamente PowerShell per connettersi a un server remoto e recuperare un file di archivio ZIP contenente il RAT che, una volta installato, stabilisce una connessione con un server di comando e controllo (C2).
L’aumento delle infezioni da NetSupport RAT evidenzia la necessità per le organizzazioni nei settori dell’educazione, del governo e dei servizi aziendali di rafforzare le loro difese contro queste sofisticate minacce informatiche.