Descomptes multi-llicència
Threat Database Remote Administration Tools NetSupport RAT

NetSupport RAT

El Mezo el Remote Administration Tools
Traduir a:
Català

Els sectors de l'educació, el govern i els serveis empresarials són atacats per actors d'amenaça que utilitzen un troià d'accés remot conegut com a NetSupport RAT. Aquest programari amenaçador s'ofereix mitjançant actualitzacions enganyoses, descàrregues de drive-by, l'ús de carregadors de programari maliciós com GHOSTPULSE i diversos tipus de campanyes de pesca. En poques setmanes, els investigadors de ciberseguretat han identificat nombroses infeccions relacionades amb el NetSupport RAT.

El NetSupport RAT va començar com una eina legítima

Tot i que NetSupport Manager va servir inicialment com una eina d'administració remota legítima dissenyada per al suport tècnic, els actors de les amenaces l'han reutilitzat de manera brutal. Aprofiten l'eina com a punt de suport per a la realització d'atacs posteriors. El NetSupport RAT es desplega habitualment a l'ordinador de la víctima mitjançant llocs web enganyosos i actualitzacions fraudulentes del navegador.

L'any 2022, els investigadors de ciberseguretat van descobrir una campanya d'atac dirigit que implicava llocs de WordPress compromesos. Aquests llocs es van utilitzar per mostrar pàgines falses de protecció DDoS de Cloudflare, la qual cosa va conduir a la difusió del NetSupport RAT.

Com infecta el NetSupport RAT els dispositius dirigits?

El desplegament d'actualitzacions falses del navegador web és una estratègia comunament vinculada a la utilització d'un programari maliciós de descàrrega basat en JavaScript anomenat SocGholish (també conegut com a FakeUpdates). Aquesta variant de programari maliciós també s'ha observat difonent un programari maliciós carregador identificat com a BLISTER .

Aleshores, la càrrega útil de JavaScript activa PowerShell per establir una connexió amb un servidor remot, obtenint un fitxer d'arxiu ZIP que conté el NetSupport RAT. Després de la instal·lació, aquesta RAT comença a comunicar-se amb un servidor d'ordres i control (C2, C&C).

Un cop establert completament al dispositiu de la víctima, NetSupport adquireix la capacitat de supervisar activitats, transferir fitxers, manipular configuracions de l'ordinador i moure's lateralment a altres dispositius de la xarxa.

Els RAT (troians d'accés remot) es troben entre les amenaces de programari maliciós més perjudicials

Les RAT es consideren una de les amenaces de programari maliciós més perjudicials a causa de la seva capacitat de proporcionar accés i control no autoritzats sobre l'ordinador o la xarxa de la víctima. Aquí hi ha diverses raons per les quals les RAT representen riscos significatius:

  • Accés i control no autoritzats : les RAT permeten als atacants obtenir un control complet sobre un sistema objectiu de forma remota. Aquest nivell d'accés els permet executar diverses activitats malicioses sense el coneixement ni el consentiment de l'usuari.
  • Operació furtiva : les RAT estan dissenyades per operar de manera encoberta, sovint eludint la detecció de les mesures de seguretat tradicionals. La seva naturalesa sigil·losa els permet romandre sense ser detectats durant períodes prolongats, donant als atacants temps suficient per dur a terme els seus objectius maliciosos.
  • Robatori de dades i espionatge : les RAT es poden utilitzar per recollir informació sensible, com ara dades personals, credencials d'inici de sessió, informació financera i propietat intel·lectual. Aquestes dades recopilades es poden aprofitar per obtenir guanys financers, espionatge corporatiu o ciberatacs addicionals.
  • Vigilància i seguiment : les RAT permeten la vigilància en temps real de les activitats d'una víctima. Els atacants poden controlar les pulsacions de tecles, capturar captures de pantalla, accedir a fitxers i fins i tot activar càmeres web i micròfons, provocant una greu invasió de la privadesa.
  • Persistència : sovint les RAT estan dissenyades per mantenir la persistència en sistemes infectats, assegurant que continuen funcionant fins i tot després de reiniciar o escanejar el programari de seguretat. Aquesta resiliència fa que sigui difícil eliminar-los completament.
  • Propagació i moviment lateral : un cop compromès un sistema, les RAT poden facilitar el moviment lateral a través d'una xarxa, infectant diversos dispositius. Aquesta capacitat permet als atacants ampliar el seu control i, potencialment, causar danys generalitzats.
  • Facilitació d'atacs addicionals : les RAT poden servir com a porta d'entrada per a altres tipus de programari maliciós o amenaces persistents avançades (APT). Els atacants poden utilitzar el sistema compromès com a punt de llançament per a més atacs, fent que la bretxa inicial sigui un punt crític de vulnerabilitat.
  • Ús en atacs dirigits : les RAT s'utilitzen amb freqüència en atacs dirigits contra individus, organitzacions o indústries específiques. La seva personalització i adaptabilitat els converteixen en eines valuoses per als ciberdelinqüents amb objectius concrets.

En general, la combinació de sigil, persistència i l'ampli ventall de capacitats associades a les RAT els fa especialment perillosos i una preocupació important per als professionals i les organitzacions de la ciberseguretat. Prevenir, detectar i mitigar l'impacte de les infeccions per RAT requereix mesures sòlides de ciberseguretat i vigilància contínua.

Tendència

Més vist

Carregant...