Attacchi Persistenti: Come NetSupport RAT Sfrutta JavaScript e PowerShell

Redazione RHC : 9 Agosto 2024 08:12

Gli specialisti di Cisco Talos stanno monitorando attivamente diverse campagne dannose che utilizzano NetSupport RAT per infezioni persistenti. Queste campagne sfuggono al rilevamento grazie all’offuscamento e agli aggiornamenti regolari.

Nel novembre 2023, i fornitori di sicurezza hanno identificato una nuova campagna NetSupport RAT che utilizzava falsi aggiornamenti del browser per indurre gli utenti a scaricare codice dannoso. Questo codice scarica ed esegue comandi PowerShell che installano l’agente NetSupport sul computer della vittima per scopi di persistenza.

Nel gennaio 2024, i ricercatori di eSentire hanno pubblicato un’altra analisi della stessa campagna, identificando i cambiamenti nel codice sorgente JavaScript e nel percorso di installazione dell’agente. Questi cambiamenti dimostrano il desiderio degli aggressori di migliorare le tecniche di offuscamento e di evasione.

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Cisco Talos ha condotto la propria analisi e ha identificato molteplici tecniche di offuscamento ed evasione utilizzate nella campagna. Questa conoscenza ha portato alla creazione di strumenti di rilevamento accurati che aiutano a proteggere gli utenti. Talos utilizza strumenti open source come Snort e ClamAV per sviluppare tecniche di rilevamento e protezione.

NetSupport Manager esiste dal 1989 e viene utilizzato per la gestione remota dei dispositivi. Tuttavia, dal 2017, gli aggressori hanno iniziato ad utilizzarlo per i propri scopi. Il passaggio al lavoro remoto negli anni 2020 ha portato a un aumento dell’uso di NetSupport RAT negli attacchi di phishing e drive-by . Questa campagna è una delle più significative degli ultimi anni, con centinaia di varianti di downloader dannosi utilizzate in una massiccia campagna pubblicitaria.

La prima fase della campagna è un file JavaScript scaricato da siti pubblicitari o risorse compromesse. Questo file è offuscato e contiene il loader della fase successiva. La seconda fase include uno script PowerShell che scarica ed esegue l’agent NetSupport, mantenendolo persistente nel registro di sistema.

Per rilevare la campagna, vengono utilizzate le regole di Snort per identificare i file dannosi e la loro trasmissione attraverso vari protocolli. Queste regole aiutano anche a monitorare l’attività di PowerShell e altri segnali della presenza di un RAT NetSupport.

Il malware e le tattiche di attacco in continua evoluzione richiedono ai professionisti della sicurezza informatica di rimanere costantemente vigili e adattarsi. È importante ricordare che anche gli strumenti legittimi possono essere utilizzati dagli aggressori, quindi il pensiero critico e la cautela quando si interagisce con qualsiasi risorsa online stanno diventando competenze chiave per ogni utente al giorno d’oggi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.