Les attaques par le RAT NetSupport s’intensifient, ciblant les secteurs public et privé

Les mécanismes de diffusion du RAT NetSupport comprennent des mises à jour frauduleuses, des téléchargements  » drive-by « , l’utilisation de chargeurs de logiciels malveillants (tels que GHOSTPULSE) et diverses formes de campagnes d’hameçonnage « , ont déclaré les chercheurs de VMware Carbon Black dans un rapport partagé avec The Hacker News.

La société de cybersécurité a déclaré avoir détecté pas moins de 15 nouvelles infections liées à NetSupport RAT au cours des dernières semaines.
Alors que NetSupport Manager était à l’origine un outil légitime d’administration à distance pour l’assistance technique et le support, des acteurs malveillants ont détourné l’outil à leur profit, l’utilisant comme tête de pont pour des attaques ultérieures.

NetSupport RAT est généralement téléchargé sur l’ordinateur d’une victime via des sites web trompeurs et de fausses mises à jour de navigateur. En août 2022, Sucuri a décrit une campagne dans laquelle des sites WordPress compromis étaient utilisés pour afficher des pages de protection DDoS Cloudflare frauduleuses qui conduisaient à la distribution de NetSupport RAT. L’utilisation de fausses mises à jour de navigateur web est une tactique souvent associée au déploiement d’un logiciel malveillant téléchargeur basé sur JavaScript connu sous le nom de SocGholish (alias FakeUpdates), qui a également été observé en train de propager un logiciel malveillant chargeur portant le nom de code BLISTER.

La charge utile JavaScript invoque ensuite PowerShell pour se connecter à un serveur distant et récupérer un fichier d’archive ZIP contenant le RAT NetSupport qui, une fois installé, se connecte à un serveur de commande et de contrôle (C2). « Une fois installé sur l’appareil d’une victime, NetSupport est capable de surveiller le comportement, de transférer des fichiers, de manipuler les paramètres de l’ordinateur et de se déplacer vers d’autres appareils au sein du réseau », ont déclaré les chercheurs.