Специалисты Cisco Talos активно отслеживают несколько вредоносных кампаний, использующих NetSupport RAT для постоянных заражений. Эти кампании избегают обнаружения с помощью обфускации и обновлений.
В ноябре 2023 года поставщики безопасности выявили новую кампанию с NetSupport RAT, которая использовала фальшивые обновления браузера для обмана пользователей и загрузки вредоносного кода. Этот код скачивает и исполняет команды PowerShell, устанавливающие агент NetSupport на машину жертвы для сохранения постоянства.
В январе 2024 года исследователи eSentire опубликовали ещё один анализ той же кампании, выявив изменения в исходном JavaScript-коде и пути установки агента. Эти изменения демонстрируют стремление злоумышленников улучшить методы обфускации и уклонения.
Cisco Talos провела собственный анализ и выявила множество методов обфускации и уклонения, используемых в кампании. Благодаря этим знаниям удалось создать точные средства обнаружения, которые помогают пользователям защититься. Talos использует открытые инструменты, такие как Snort и ClamAV, для разработки методов обнаружения и защиты.
NetSupport Manager существует с 1989 года и используется для удалённого управления устройствами. Однако с 2017 года злоумышленники начали применять его в своих целях. Переход к удалённой работе в 2020-е годы привёл к увеличению использования NetSupport RAT в фишинговых и
Загрузка может происходить через рекламу, плавающий фрейм (iframe) или встроенный в сайт вредоносный скрипт. При этом могут использоваться различные уязвимости в браузерах или в плагинах, таких как Flash или Java, чтобы без ведома пользователя установить вредоносное ПО.
Цель таких атак – кража личных данных, банковской информации, установка шпионских программ или другие незаконные действия. Основной способ защиты – регулярное обновление браузеров и плагинов, использование антивирусного ПО и избегание подозрительных сайтов.