NetSupport RAT эволюционирует: обнаружены сотни новых вариантов
Как хакеры приспособили легитимное ПО для удалённого управления заражёнными устройствами.
Специалисты Cisco Talos активно отслеживают несколько вредоносных кампаний, использующих NetSupport RAT для постоянных заражений. Эти кампании избегают обнаружения с помощью обфускации и регулярных обновлений.
В ноябре 2023 года поставщики безопасности выявили новую кампанию с NetSupport RAT, которая использовала фальшивые обновления браузера для обмана пользователей и загрузки вредоносного кода. Этот код скачивает и исполняет команды PowerShell, устанавливающие агент NetSupport на машину жертвы для сохранения постоянства.
В январе 2024 года исследователи eSentire опубликовали ещё один анализ той же кампании, выявив изменения в исходном JavaScript-коде и пути установки агента. Эти изменения демонстрируют стремление злоумышленников улучшить методы обфускации и уклонения.
Cisco Talos провела собственный анализ и выявила множество методов обфускации и уклонения, используемых в кампании. Благодаря этим знаниям удалось создать точные средства обнаружения, которые помогают пользователям защититься. Talos использует открытые инструменты, такие как Snort и ClamAV, для разработки методов обнаружения и защиты.
NetSupport Manager существует с 1989 года и используется для удалённого управления устройствами. Однако с 2017 года злоумышленники начали применять его в своих целях. Переход к удалённой работе в 2020-е годы привёл к увеличению использования NetSupport RAT в фишинговых и drive-by атаках. Эта кампания является одной из самых значительных за последние годы, с сотнями вариантов вредоносных загрузчиков, используемых в масштабной рекламной кампании.
Первый этап кампании представляет собой JavaScript-файл, загружаемый с рекламных сайтов или взломанных ресурсов. Этот файл обфусцирован и содержит загрузчик следующего этапа. Второй этап включает PowerShell-скрипт, который загружает и запускает агент NetSupport, сохраняя его постоянство в реестре системы.
Для обнаружения кампании используются правила Snort, которые позволяют выявить вредоносные файлы и их передачу через различные протоколы. Эти правила также помогают отслеживать действия PowerShell и другие признаки присутствия NetSupport RAT.
Постоянное совершенствование вредоносного ПО и тактик атак требует от специалистов по кибербезопасности непрерывной бдительности и адаптации. Важно помнить, что даже легитимные инструменты могут быть использованы злоумышленниками, поэтому критическое мышление и осторожность при взаимодействии с любыми онлайн-ресурсами в наше время становятся ключевыми навыками для каждого пользователя.