Attacchi Persistenti: Come NetSupport RAT Sfrutta JavaScript e PowerShell

Redazione RHC : 9 Agosto 2024 08:12

Gli specialisti di Cisco Talos stanno monitorando attivamente diverse campagne dannose che utilizzano NetSupport RAT per infezioni persistenti. Queste campagne sfuggono al rilevamento grazie all’offuscamento e agli aggiornamenti regolari.

Nel novembre 2023, i fornitori di sicurezza hanno identificato una nuova campagna NetSupport RAT che utilizzava falsi aggiornamenti del browser per indurre gli utenti a scaricare codice dannoso. Questo codice scarica ed esegue comandi PowerShell che installano l’agente NetSupport sul computer della vittima per scopi di persistenza.

Nel gennaio 2024, i ricercatori di eSentire hanno pubblicato un’altra analisi della stessa campagna, identificando i cambiamenti nel codice sorgente JavaScript e nel percorso di installazione dell’agente. Questi cambiamenti dimostrano il desiderio degli aggressori di migliorare le tecniche di offuscamento e di evasione.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

Creare Un Sistema Ai Di Visual Object Tracking (Hands on)

Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake

Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?

Come Hackerare Un Sito WordPress (Hands on)

Il Cyberbullismo Tra Virtuale E Reale

Come Entrare Nel Dark Web In Sicurezza (Hands on)

Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Cisco Talos ha condotto la propria analisi e ha identificato molteplici tecniche di offuscamento ed evasione utilizzate nella campagna. Questa conoscenza ha portato alla creazione di strumenti di rilevamento accurati che aiutano a proteggere gli utenti. Talos utilizza strumenti open source come Snort e ClamAV per sviluppare tecniche di rilevamento e protezione.

NetSupport Manager esiste dal 1989 e viene utilizzato per la gestione remota dei dispositivi. Tuttavia, dal 2017, gli aggressori hanno iniziato ad utilizzarlo per i propri scopi. Il passaggio al lavoro remoto negli anni 2020 ha portato a un aumento dell’uso di NetSupport RAT negli attacchi di phishing e drive-by . Questa campagna è una delle più significative degli ultimi anni, con centinaia di varianti di downloader dannosi utilizzate in una massiccia campagna pubblicitaria.

La prima fase della campagna è un file JavaScript scaricato da siti pubblicitari o risorse compromesse. Questo file è offuscato e contiene il loader della fase successiva. La seconda fase include uno script PowerShell che scarica ed esegue l’agent NetSupport, mantenendolo persistente nel registro di sistema.

Per rilevare la campagna, vengono utilizzate le regole di Snort per identificare i file dannosi e la loro trasmissione attraverso vari protocolli. Queste regole aiutano anche a monitorare l’attività di PowerShell e altri segnali della presenza di un RAT NetSupport.

Il malware e le tattiche di attacco in continua evoluzione richiedono ai professionisti della sicurezza informatica di rimanere costantemente vigili e adattarsi. È importante ricordare che anche gli strumenti legittimi possono essere utilizzati dagli aggressori, quindi il pensiero critico e la cautela quando si interagisce con qualsiasi risorsa online stanno diventando competenze chiave per ogni utente al giorno d’oggi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.