Los actores de amenazas se dirigen a los sectores de educación, gobierno y servicios empresariales con un troyano de acceso remoto llamado NetSupport rata.
“Los mecanismos de entrega de NetSupport RAT abarcan actualizaciones fraudulentas, descargas no autorizadas, utilización de cargadores de malware (como GHOSTPULSE) y diversas formas de campañas de phishing”, dijeron los investigadores de VMware Carbon Black en un informe compartido con The Hacker News.
La firma de ciberseguridad dijo que detectó no menos de 15 nuevas infecciones relacionadas con NetSupport RAT en las últimas semanas.
Si bien NetSupport Manager comenzó como una herramienta legítima de administración remota En busca de asistencia y soporte técnicos, actores maliciosos se han apropiado indebidamente de la herramienta para su propio beneficio, usándola como cabeza de puente para ataques posteriores.
NetSupport RAT normalmente se descarga en el ordenador de la víctima a través de sitios web engañosos y actualizaciones falsas del navegador.
En agosto de 2022, Sucuri detalló una campaña en la que se utilizaban sitios de WordPress comprometidos para mostrar páginas fraudulentas de protección DDoS de Cloudflare que llevaron a la distribución de NetSupport RAT.
El uso de actualizaciones falsas del navegador web es una táctica a menudo asociada con la implementación de un malware de descarga basado en JavaScript conocido como SocGholish (también conocido como FakeUpdates), que también se ha observado propagando un malware de carga con nombre en código. AMPOLLA.
Posteriormente, la carga útil de Javascript invoca PowerShell para conectarse a un servidor remoto y recuperar un archivo ZIP que contiene NetSupport RAT que, tras la instalación, se dirige a un servidor de comando y control (C2).
“Una vez instalado en el dispositivo de una víctima, NetSupport puede monitorear el comportamiento, transferir archivos, manipular la configuración de la computadora y moverse a otros dispositivos dentro de la red”, dijeron los investigadores.