Les acteurs de la menace ciblent les secteurs de l’éducation, des services gouvernementaux et des services aux entreprises avec un cheval de Troie d’accès à distance appelé NetSupport RAT.
« Les mécanismes de livraison de NetSupport RAT englobent des mises à jour frauduleuses, des téléchargements inopinés, l’utilisation de chargeurs de logiciels malveillants (tels que GHOSTPULSE) et diverses formes de campagnes de phishing », ont déclaré les chercheurs de VMware Carbon Black dans un rapport partagé avec The Hacker News.
La société de cybersécurité a déclaré avoir détecté pas moins de 15 nouvelles infections liées à NetSupport RAT au cours des dernières semaines.
Alors que NetSupport Manager a commencé comme un outil d’administration à distance légitime Pour obtenir une assistance et un support techniques, des acteurs malveillants ont détourné l’outil à leur propre avantage, l’utilisant comme tête de pont pour des attaques ultérieures.
NetSupport RAT est généralement téléchargé sur l’ordinateur d’une victime via des sites Web trompeurs et de fausses mises à jour de navigateur.
En août 2022, Sucuri a détaillé une campagne dans laquelle des sites WordPress compromis étaient utilisés pour afficher des pages frauduleuses de protection DDoS Cloudflare qui ont conduit à la distribution de NetSupport RAT.
L’utilisation de fausses mises à jour de navigateur Web est une tactique souvent associée au déploiement d’un malware de téléchargement basé sur JavaScript connu sous le nom de SocGholish (alias FakeUpdates), qui a également été observé en train de propager un malware de chargement nommé CLOQUE.
La charge utile Javascript appelle ensuite PowerShell pour se connecter à un serveur distant et récupérer un fichier d’archive ZIP contenant NetSupport RAT qui, lors de l’installation, se dirige vers un serveur de commande et de contrôle (C2).
« Une fois installé sur l’appareil d’une victime, NetSupport est capable de surveiller le comportement, de transférer des fichiers, de manipuler les paramètres de l’ordinateur et de passer à d’autres appareils du réseau », ont indiqué les chercheurs.