NetSupport RAT эволюционирует: обнаружены сотни новых вариантов

Специалисты Cisco Talos активно отслеживают несколько вредоносных кампаний, использующих NetSupport RAT для постоянных заражений. Эти кампании избегают обнаружения с помощью обфускации и регулярных обновлений.

В ноябре 2023 года поставщики безопасности выявили новую кампанию с NetSupport RAT, которая использовала фальшивые обновления браузера для обмана пользователей и загрузки вредоносного кода. Этот код скачивает и исполняет команды PowerShell , устанавливающие агент NetSupport на машину жертвы для сохранения постоянства.

В январе 2024 года исследователи eSentire опубликовали ещё один анализ той же кампании, выявив изменения в исходном JavaScript -коде и пути установки агента. Эти изменения демонстрируют стремление злоумышленников улучшить методы обфускации и уклонения.

Cisco Talos провела собственный анализ и выявила множество методов обфускации и уклонения, используемых в кампании. Благодаря этим знаниям удалось создать точные средства обнаружения, которые помогают пользователям защититься. Talos использует открытые инструменты, такие как Snort и ClamAV, для разработки методов обнаружения и защиты.

NetSupport Manager существует с 1989 года и используется для удалённого управления устройствами. Однако с 2017 года злоумышленники начали применять его в своих целях. Переход к удалённой работе в 2020-е годы привёл к увеличению использования NetSupport RAT в фишинговых и drive-by атаках. Эта кампания является одной из самых значительных за последние годы, с сотнями вариантов вредоносных загрузчиков, используемых в масштабной рекламной кампании.

Первый этап кампании представляет собой JavaScript-файл, загружаемый с рекламных сайтов или взломанных ресурсов. Этот файл обфусцирован и содержит загрузчик следующего этапа. Второй этап включает PowerShell-скрипт, который загружает и запускает агент NetSupport, сохраняя его постоянство в реестре системы.

Для обнаружения кампании используются правила Snort, которые позволяют выявить вредоносные файлы и их передачу через различные протоколы. Эти правила также помогают отслеживать действия PowerShell и другие признаки присутствия NetSupport RAT.

Постоянное совершенствование вредоносного ПО и тактик атак требует от специалистов по кибербезопасности непрерывной бдительности и адаптации. Важно помнить, что даже легитимные инструменты могут быть использованы злоумышленниками, поэтому критическое мышление и осторожность при взаимодействии с любыми онлайн-ресурсами в наше время становятся ключевыми навыками для каждого пользователя.