Εγκληματίες του κυβερνοχώρου στοχεύουν οργανισμούς στους τομείς της εκπαίδευσης, της κυβέρνησης και των επιχειρήσεων με ένα remote access trojan, που ονομάζεται NetSupport RAT.
“Οι μηχανισμοί παράδοσης του NetSupport RAT περιλαμβάνουν ψεύτικες ενημερώσεις, drive-by downloads, χρήση malware loaders (όπως το GHOSTPULSE) και διάφορες μορφές phishing“, ανέφεραν οι ερευνητές της VMware Carbon Black σε μια έκθεση που είδε το The Hacker News.
Οι ερευνητές εντόπισαν τουλάχιστον 15 νέες μολύνσεις που σχετίζονται με το NetSupport RAT τις τελευταίες εβδομάδες.
Ενώ το NetSupport Manager ξεκίνησε ως ένα νόμιμο εργαλείο απομακρυσμένης διαχείρισης για τεχνική βοήθεια και υποστήριξη, υπάρχουν εγκληματίες του κυβερνοχώρου που το έχουν χρησιμοποιήσει για την πραγματοποίηση επιθέσεων.
Δείτε επίσης: Το Malware “Meal Kits” χρησιμοποιείται για επιθέσεις RAT
Το NetSupport RAT συνήθως μεταφορτώνεται στη συσκευή του θύματος μέσω παραπλανητικών ιστότοπων και ψεύτικων ενημερώσεων για το πρόγραμμα περιήγησης.
Τον Αύγουστο του 2022, η εταιρεία ασφάλειας Sucuri αναφέρθηκε σε μια επίθεση, όπου χρησιμοποιήθηκαν παραβιασμένοι ιστότοποι WordPress για την εμφάνιση δόλιων σελίδων προστασίας Cloudflare. Στόχος ήταν η διανομή του NetSupport RAT.
Επίσης, η χρήση ψεύτικων ενημερώσεων browser μπορεί να είναι αποτελεσματική και στην πραγματικότητα έχει χρησιμοποιηθεί από πολλούς κυβερνοεγκληματίες για τη διανομή ενός κακόβουλου λογισμικού. Για παράδειγμα, έχουν χρησιμοποιηθεί ψεύτικες ενημερώσεις για την ανάπτυξη ενός JavaScript-based downloader malware, γνωστό ως SocGholish. Αυτό διένειμε ένα άλλο loader malware με την κωδική ονομασία BLISTER.
Το Javascript payload στη συνέχεια συνδέεται με PowerShell για να συνδεθεί σε έναν απομακρυσμένο διακομιστή και να ανακτήσει ένα ZIP archive file που περιέχει το NetSupport RAT.
Δείτε επίσης: LittleDrifter malware: Το νέο worm των Gamaredon hackers στοχεύει την Ουκρανία
Σύμφωνα με τους ερευνητές ασφαλείας, μόλις εγκατασταθεί στον υπολογιστή του θύματος, το NetSupport είναι σε θέση να παρακολουθεί τη δραστηριότητα του χρήστη, να μεταφέρει αρχεία, να χειρίζεται τις ρυθμίσεις του υπολογιστή και να μετακινείται σε άλλες συσκευές εντός του δικτύου.
Προστασία
Ένα από τα βασικά μέτρα που μπορούν να λάβουν οι χρήστες και οι οργανισμοί για να προστατευτούν από το NetSupport RAT είναι η ενημέρωση και η εκπαίδευση σχετικά με την ύπαρξη αυτού του κακόβουλου λογισμικού και τις μεθόδους που χρησιμοποιεί για την εισβολή στα συστήματα. Επίσης, η εκπαίδευση για την αναγνώριση ύποπτων ηλεκτρονικών μηνυμάτων και συνημμένων αρχείων μπορεί να αποτελέσει αποτελεσματικό μέτρο πρόληψης.
Επιπλέον, η εγκατάσταση ενημερωμένων antivirus λογισμικών και η τακτική ενημέρωση των λειτουργικών συστημάτων και των εφαρμογών είναι απαραίτητη για την ανίχνευση και αποτροπή των μολύνσεων του NetSupport RAT. Επίσης, η χρήση πολυεπίπεδης ασφαλείας, με προστασία με προηγμένα firewall και περιορισμό των δικαιωμάτων πρόσβασης, μπορεί να περιορίσει την επίθεση του κακόβουλου λογισμικού.
Δείτε επίσης: Οι Ρώσοι hackers APT29 χρησιμοποιούν WinRAR exploit για επιθέσεις σε πρεσβείες
Τέλος, η τακτική δημιουργία αντιγράφων ασφαλείας των δεδομένων και η αποθήκευσή τους σε ασφαλή τοποθεσία μπορεί να αποτελέσει αποτελεσματικό μέτρο ανάκτησης σε περίπτωση μολύνσεων. Συνολικά, η συνδυασμένη χρήση αυτών των μέτρων μπορεί να βοηθήσει τους οργανισμούς να προστατευτούν από τις μολύνσεις του NetSupport RAT.
Πηγή: thehackernews.com