RAT NETSUPPORT MANAGER РАСПРОСТРАНЯЕТСЯ ЧЕРЕЗ ПОДДЕЛЬНЫЕ ОБНОВЛЕНИЯ ДЛЯ ADOBE FLASH, CHROME И FIREFOX
RAT NETSUPPORT MANAGER РАСПРОСТРАНЯЕТСЯ ЧЕРЕЗ ПОДДЕЛЬНЫЕ ОБНОВЛЕНИЯ ДЛЯ ADOBE FLASH, CHROME И FIREFOX
С помощью NetSupport Manager злоумышленники могут получить удаленный доступ к взломанным системам, запускать приложения и пр.
Исследователи безопасности из компании FireEye выявили вредоносную кампанию, в ходе которой злоумышленники использовали скомпрометированные web-сайты для распространения вредоносного ПО под видом обновлений для популярных приложений, в том числе Adobe Flash, Chrome и FireFox. В ряде случаев через обновления распространялся легитимный инструмент для удаленного доступа (remote access tool, RAT) NetSupport Manager.
Коммерчески доступный инструмент NetSupport Manager используется администраторами для удаленного доступа к компьютерам пользователей. Однако, легитимное приложение может быть использовано и злоумышленниками, устанавливающими его на компьютеры жертвы.
Атакующие распространяют инструмент через взломанные сайты и маскируют его под обновления для популярных приложений. Если пользователь устанавливает обновление, на его устройство загружается вредоносный файл JavaScript.
Файл собирает основную системную информацию и отправляет ее на C&C-сервер, получает дополнительные команды, а затем выполняет скрипт JavaScript для доставки вредоносной полезной нагрузки. Затем файл под названием Update.js выполняется из директории %AppData% с помощью wscript.exe, пояснили специалисты.
Авторы вредоносного кода применили несколько уровней обфускации к исходному файлу JavaScript и попытались усложнить анализ второго файла JavaScript.
После исполнения файл JavaScript инициирует подключение к C&C-серверу и отправляет значение tid с текущей датой системы в зашифрованном формате. Затем скрипт дешифрует ответ сервера и выполняет его как функцию с именем step2.
Данная функция собирает различную системную информацию, в частности данные об архитектуре, имени компьютера, имени пользователя, процессоре, ОС, домене, производителе, модели, версии BIOS, наличии защитных решений, MAC-адресе, клавиатуре, конфигурации контроллера дисплея и списке процессов. В ответ сервер отправляет функцию с именем step3 и файлом Update.js, который в свою очередь загружает и исполняет конечную вредоносную полезную нагрузку.
В коде используются команды PowerShell для загрузки нескольких файлов с сервера, включая автономный исполняемый файл 7zip, содержащий инструмент для удаленного доступа, и пакетный скрипт для установки клиента NetSupport на системе.
Скрипт также способен отключать отчеты об ошибках Windows и совместимости приложений, добавлять исполняемый файл инструмента в список разрешенных программ, загружать ярлык в папку «Автозагрузка», скрывать определенные файлы, удалять артефакты и пр.
С помощью NetSupport Manager злоумышленники могут получить удаленный доступ к взломанным системам, запускать приложения, получать данные о местоположении, а также похищать системную информацию.
По словам специалистов, файл JavaScript также загружает txt-файл, содержащий список IP-адресов, которые могут быть взломаны. Данные IP-адреса расположены в основном в США, Германии и Нидерландах.