NetSupport RATTO

I settori dell’istruzione, del governo e dei servizi alle imprese sono sotto attacco da parte di autori di minacce che utilizzano un trojan di accesso remoto noto come NetSupport RAT. Questo software minaccioso viene distribuito tramite aggiornamenti ingannevoli, download drive-by, utilizzo di caricatori di malware come GHOSTPULSE e vari tipi di campagne di phishing. Nell’arco di poche settimane, i ricercatori di sicurezza informatica hanno identificato numerose infezioni legate a NetSupport RAT.

Il RAT NetSupport è iniziato come uno strumento legittimo

Anche se NetSupport Manager inizialmente fungeva da legittimo strumento di amministrazione remota progettato per il supporto tecnico, è stato brutalmente riproposto dagli autori delle minacce. Sfruttano lo strumento come punto d'appoggio per sferrare attacchi successivi. NetSupport RAT viene comunemente distribuito sul computer di una vittima tramite siti Web ingannevoli e aggiornamenti del browser fraudolenti.

Nel 2022, i ricercatori di sicurezza informatica hanno scoperto una campagna di attacchi mirati che coinvolgeva siti WordPress compromessi. Questi siti sono stati utilizzati per mostrare false pagine di protezione DDoS di Cloudflare, portando alla diffusione di NetSupport RAT.

In che modo NetSupport RAT infetta i dispositivi mirati?

La distribuzione di aggiornamenti di browser Web contraffatti è una strategia comunemente collegata all'utilizzo di un malware downloader basato su JavaScript chiamato SocGholish (noto anche come FakeUpdates). Questa variante del malware è stata osservata anche mentre diffondeva un malware di caricamento identificato come BLISTER .

Il payload JavaScript attiva quindi PowerShell per stabilire una connessione con un server remoto, recuperando un file di archivio ZIP contenente NetSupport RAT. Al momento dell'installazione, questo RAT inizia a comunicare con un server di comando e controllo (C2, C&C).

Una volta completamente installato sul dispositivo della vittima, NetSupport acquisisce la capacità di monitorare le attività, trasferire file, manipolare le configurazioni del computer e spostarsi lateralmente su altri dispositivi all'interno della rete.

I RAT (Trojan di accesso remoto) sono tra le minacce malware più dannose

I RAT sono considerati tra le minacce malware più dannose grazie alla loro capacità di fornire accesso e controllo non autorizzati sul computer o sulla rete di una vittima. Ecco diversi motivi per cui i RAT comportano rischi significativi:

• Accesso e controllo non autorizzati : i RAT consentono agli aggressori di ottenere il controllo completo su un sistema preso di mira da remoto. Questo livello di accesso consente loro di eseguire varie attività dannose all'insaputa o al consenso dell'utente.
• Operazione furtiva : i RAT sono progettati per operare di nascosto, spesso eludendo il rilevamento da parte delle tradizionali misure di sicurezza. La loro natura furtiva consente loro di rimanere inosservati per lunghi periodi, dando agli aggressori tutto il tempo necessario per portare a termine i loro obiettivi dannosi.
• Furto di dati e spionaggio : i RAT possono essere utilizzati per raccogliere informazioni sensibili, come dati personali, credenziali di accesso, informazioni finanziarie e proprietà intellettuale. I dati raccolti possono essere sfruttati per guadagni finanziari, spionaggio aziendale o ulteriori attacchi informatici.
• Sorveglianza e monitoraggio : i RAT consentono la sorveglianza in tempo reale delle attività di una vittima. Gli aggressori possono monitorare i tasti premuti, acquisire schermate, accedere ai file e persino attivare webcam e microfoni, portando a una grave violazione della privacy.
• Persistenza : i RAT sono spesso progettati per mantenere la persistenza sui sistemi infetti, garantendo che continuino a funzionare anche dopo il riavvio o la scansione del software di sicurezza. Questa resilienza li rende difficili da rimuovere completamente.
• Propagazione e movimento laterale : una volta che un sistema è compromesso, i RAT possono facilitare il movimento laterale attraverso una rete, infettando più dispositivi. Questa capacità consente agli aggressori di espandere il proprio controllo e potenzialmente causare danni diffusi.
• Facilitazione di attacchi aggiuntivi : i RAT possono fungere da gateway per altri tipi di malware o minacce persistenti avanzate (APT). Gli aggressori possono utilizzare il sistema compromesso come punto di partenza per ulteriori attacchi, rendendo la violazione iniziale un punto critico di vulnerabilità.
• Utilizzo in attacchi mirati : i RAT vengono spesso impiegati in attacchi mirati contro individui, organizzazioni o settori specifici. La loro personalizzazione e adattabilità li rendono strumenti preziosi per i criminali informatici con obiettivi specifici.

Nel complesso, la combinazione di azione furtiva, persistenza e l’ampia gamma di capacità associate ai RAT li rendono particolarmente pericolosi e costituiscono una preoccupazione significativa per i professionisti e le organizzazioni della sicurezza informatica. Prevenire, rilevare e mitigare l’impatto delle infezioni RAT richiede solide misure di sicurezza informatica e una vigilanza continua.