Attacchi Persistenti: Come NetSupport RAT Sfrutta JavaScript e PowerShell

Gli specialisti di Cisco Talos stanno monitorando attivamente diverse campagne dannose che utilizzano NetSupport RAT per infezioni persistenti. Queste campagne sfuggono al rilevamento grazie all’offuscamento e agli aggiornamenti regolari.

Nel novembre 2023, i fornitori di sicurezza hanno identificato una nuova campagna NetSupport RAT che utilizzava falsi aggiornamenti del browser per indurre gli utenti a scaricare codice dannoso. Questo codice scarica ed esegue comandi PowerShell che installano l’agente NetSupport sul computer della vittima per scopi di persistenza.

Nel gennaio 2024, i ricercatori di eSentire hanno pubblicato un’altra analisi della stessa campagna, identificando i cambiamenti nel codice sorgente JavaScript e nel percorso di installazione dell’agente. Questi cambiamenti dimostrano il desiderio degli aggressori di migliorare le tecniche di offuscamento e di evasione.

Cisco Talos ha condotto la propria analisi e ha identificato molteplici tecniche di offuscamento ed evasione utilizzate nella campagna. Questa conoscenza ha portato alla creazione di strumenti di rilevamento accurati che aiutano a proteggere gli utenti. Talos utilizza strumenti open source come Snort e ClamAV per sviluppare tecniche di rilevamento e protezione.

NetSupport Manager esiste dal 1989 e viene utilizzato per la gestione remota dei dispositivi. Tuttavia, dal 2017, gli aggressori hanno iniziato ad utilizzarlo per i propri scopi. Il passaggio al lavoro remoto negli anni 2020 ha portato a un aumento dell’uso di NetSupport RAT negli attacchi di phishing e drive-by . Questa campagna è una delle più significative degli ultimi anni, con centinaia di varianti di downloader dannosi utilizzate in una massiccia campagna pubblicitaria.

La prima fase della campagna è un file JavaScript scaricato da siti pubblicitari o risorse compromesse. Questo file è offuscato e contiene il loader della fase successiva. La seconda fase include uno script PowerShell che scarica ed esegue l’agent NetSupport, mantenendolo persistente nel registro di sistema.

Per rilevare la campagna, vengono utilizzate le regole di Snort per identificare i file dannosi e la loro trasmissione attraverso vari protocolli. Queste regole aiutano anche a monitorare l’attività di PowerShell e altri segnali della presenza di un RAT NetSupport.

Il malware e le tattiche di attacco in continua evoluzione richiedono ai professionisti della sicurezza informatica di rimanere costantemente vigili e adattarsi. È importante ricordare che anche gli strumenti legittimi possono essere utilizzati dagli aggressori, quindi il pensiero critico e la cautela quando si interagisce con qualsiasi risorsa online stanno diventando competenze chiave per ogni utente al giorno d’oggi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.