Infecções pelo NetSupport RAT em Ascensão - Visando Setores Governamentais e Empresariais
21 de Novembro de 2023

Atores de ameaças estão visando os setores de educação, governo e serviços empresariais com um trojan de acesso remoto chamado NetSupport RAT.

"Os mecanismos de entrega para o NetSupport RAT englobam atualizações fraudulentas, downloads drive-by, utilização de carregadores de malware (como o GHOSTPULSE) e várias formas de campanhas de phishing", disseram pesquisadores da VMware Carbon Black em um relatório compartilhado com The Hacker News.

A empresa de segurança cibernética disse que detectou não menos do que 15 novas infecções relacionadas ao NetSupport RAT nas últimas semanas.

Enquanto o NetSupport Manager começou como uma ferramenta legítima de administração remota para assistência técnica e suporte, atores maliciosos apropriaram-se da ferramenta para sua própria vantagem, usando-a como um posto avançado para ataques subsequentes.

O NetSupport RAT geralmente é baixado em um computador da vítima por meio de sites enganadores e falsas atualizações de navegador.

Em agosto de 2022, a Sucuri detalhou uma campanha na qual sites WordPress comprometidos estavam sendo usados ​​para exibir páginas fraudulentas de proteção DDoS da Cloudflare que levavam à distribuição do NetSupport RAT.

O uso de atualizações falsas de navegador da web é uma tática frequentemente associada à implantação de um malware de download baseado em JavaScript conhecido como SocGholish (também conhecido como FakeUpdates), que também tem sido observado propagando um malware de carregamento com o codinome BLISTER.

A payload do Javascript então invoca o PowerShell para se conectar a um servidor remoto e recuperar um arquivo de arquivo ZIP contendo o NetSupport RAT que, após a instalação, transmite para um servidor de comando e controle (C2).

"Uma vez instalado no dispositivo da vítima, o NetSupport é capaz de monitorar o comportamento, transferir arquivos, manipular configurações de computador e se mover para outros dispositivos dentro da rede", disseram os pesquisadores.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...