05/08/24
Специалисты Cisco Talos активно отслеживают несколько вредоносных кампаний, использующих NetSupport RAT для постоянных заражений. Эти кампании избегают обнаружения с помощью обфускации и регулярных обновлений, пишет Securitylab.
В ноябре 2023 года поставщики безопасности выявили новую кампанию с NetSupport RAT, которая использовала фальшивые обновления браузера для обмана пользователей и загрузки вредоносного кода. Этот код скачивает и исполняет команды PowerShell, устанавливающие агент NetSupport на машину жертвы для сохранения постоянства.
В январе 2024 года исследователи eSentire опубликовали ещё один анализ той же кампании, выявив изменения в исходном JavaScript-коде и пути установки агента. Эти изменения демонстрируют стремление злоумышленников улучшить методы обфускации и уклонения.
Cisco Talos провела собственный анализ и выявила множество методов обфускации и уклонения, используемых в кампании. Благодаря этим знаниям удалось создать точные средства обнаружения, которые помогают пользователям защититься. Talos использует открытые инструменты, такие как Snort и ClamAV, для разработки методов обнаружения и защиты.
NetSupport Manager существует с 1989 года и используется для удалённого управления устройствами. Однако с 2017 года злоумышленники начали применять его в своих целях. Переход к удалённой работе в 2020-е годы привёл к увеличению использования NetSupport RAT в фишинговых и drive-by атаках. Эта кампания является одной из самых значительных за последние годы, с сотнями вариантов вредоносных загрузчиков, используемых в масштабной рекламной кампании.
Первый этап кампании представляет собой JavaScript-файл, загружаемый с рекламных сайтов или взломанных ресурсов. Этот файл обфусцирован и содержит загрузчик следующего этапа. Второй этап включает PowerShell-скрипт, который загружает и запускает агент NetSupport, сохраняя его постоянство в реестре системы.
Для обнаружения кампании используются правила Snort, которые позволяют выявить вредоносные файлы и их передачу через различные протоколы. Эти правила также помогают отслеживать действия PowerShell и другие признаки присутствия NetSupport RAT.
