Всплеск атак NetSupport RAT на образовательный и государственный секторы

Специалисты из VMware Carbon Black бьют тревогу: в последнее время участились кибератаки на образовательный сектор, государственные учреждения и предприятия сферы услуг. Основным инструментом злоумышленников стал троянский вирус для удаленного доступа — NetSupport RAT.

По словам исследователей, для распространения вредоносного ПО хакеры используют множество разных методов: от ложных обновлений и автоматических загрузок при просмотре веб-сайтов до вредоносных загрузчиков вроде GHOSTPULSE и фишинговых кампаний. За последние несколько недель было обнаружено не менее 15 случаев инфицирования NetSupport RAT.

Стоит отметить, что когда-то NetSupport Manager представлял собой легитимный инструмент для удаленного администрирования. Тем не менее, мошенники приспособили его для своих целей.

Чаще всего NetSupport RAT проникает в систему жертвы через мошеннические веб-сайты и поддельные обновления браузеров. В августе 2022 года Sucuri раскрыла детали кампании, в рамках которой злоумышленники эксплуатировали взломанные сайты на WordPress. Программа была замаскирована под страницы защиты от DDoS-атак в Cloudflare.

Для поддельных обновлений используется специальное ПО на JavaScript, известное как SocGholish (или FakeUpdates). Эта программа выступает в роли загрузчика — устанавливает дополнительные вредоносные модули на зараженное устройство.

Вредоносный JavaScript-код активируется сразу после установки «обновления». Он, в свою очередь, запускает системную утилиту PowerShell , которая и загружает основной вирус. Затем NetSupport RAT тайно связывается с управляющим сервером для получения команд.

«Таким образом киберпреступники получают широкие возможности мониторинга и контроля», — объясняют исследователи. «Они могут следить за действиями жертвы, красть конфиденциальные файлы, менять настройки системы и распространять вредоносное ПО на другие устройства в сети».