Investigadores de seguridad descubrieron un notable aumento en los ataques realizados con el troyano de acceso remoto (RAT) llamado NetSupport, dirigidos a sectores de educación, gobierno y servicios empresariales. Dicho malware, se descarga en el ordenador de la víctima a través de sitios web engañosos y actualizaciones falsas del navegador.

Según un informe provisto por la empresa VMware Carbon Black, se detectaron al menos 15 nuevas infecciones vinculadas a este malware, el cual, utiliza mecanismos que abarcan actualizaciones fraudulentas, descargas no autorizadas, utilización de cargadores de malware (como GHOSTPULSE ) y diversas formas de campañas de phishing.

Si bien, NetSupport Manager comenzó como una herramienta legítima de administración remota para asistencia y soporte técnico, los actores de amenazas se apropiaron de la misma para su propio beneficio, utilizándola indebidamente como cabeza de puente para ataques posteriores.

Por otro lado, se supo que en agosto de 2022, existió una campaña en la que se utilizaron sitios de WordPress comprometidos para mostrar páginas fraudulentas de protección DDoS de Cloudflare que llevaron a la distribución de NetSupport RAT.

El uso de actualizaciones falsas del navegador web, es una táctica a menudo asociada con la implementación de un malware de descarga basado en JavaScript llamado SocGholish (también conocido como FakeUpdates), donde también, se ha observado propagando un malware de carga con nombre en código BLISTER.

Posterior a esto, la carga útil de JavaScript invoca PowerShell y se conecta a un servidor remoto con el fin de recuperar un archivo ZIP que contiene NetSupport RAT, para luego dirigirse a un servidor de comando y control (C2).

Es importante saber que, una vez instalado el malware, puede monitorear el comportamiento de la víctima, transferir archivos, manipular la configuración de la computadora y moverse a otros dispositivos dentro de la red, lo que podría a ocasionar una vulnerabilidad crítica en los sistemas de información de las instituciones mencionadas.

Fuente

https://thehackernews.com/2023/11/netsupport-rat-infections-on-rise.html