Atores de ameaças estão visando os setores de educação, governo e serviços empresariais com um trojan de acesso remoto chamado NetSupport RAT.
"Os mecanismos de entrega para o NetSupport RAT englobam atualizações fraudulentas, downloads drive-by, utilização de carregadores de malware (como o GHOSTPULSE) e várias formas de campanhas de phishing", disseram pesquisadores da VMware Carbon Black em um relatório compartilhado com The Hacker News.
A empresa de segurança cibernética disse que detectou não menos do que 15 novas infecções relacionadas ao NetSupport RAT nas últimas semanas.
Enquanto o NetSupport Manager começou como uma ferramenta legítima de administração remota para assistência técnica e suporte, atores maliciosos apropriaram-se da ferramenta para sua própria vantagem, usando-a como um posto avançado para ataques subsequentes.
O NetSupport RAT geralmente é baixado em um computador da vítima por meio de sites enganadores e falsas atualizações de navegador.
Em agosto de 2022, a Sucuri detalhou uma campanha na qual sites WordPress comprometidos estavam sendo usados para exibir páginas fraudulentas de proteção DDoS da Cloudflare que levavam à distribuição do NetSupport RAT.
O uso de atualizações falsas de navegador da web é uma tática frequentemente associada à implantação de um malware de download baseado em JavaScript conhecido como SocGholish (também conhecido como FakeUpdates), que também tem sido observado propagando um malware de carregamento com o codinome BLISTER.
A payload do Javascript então invoca o PowerShell para se conectar a um servidor remoto e recuperar um arquivo de arquivo ZIP contendo o NetSupport RAT que, após a instalação, transmite para um servidor de comando e controle (C2).
"Uma vez instalado no dispositivo da vítima, o NetSupport é capaz de monitorar o comportamento, transferir arquivos, manipular configurações de computador e se mover para outros dispositivos dentro da rede", disseram os pesquisadores.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...