Hackare leverera NetSupport Manager RAT via falska programvaruuppdateringar

Computer Security News

FireEye säkerhetsexperter har funnit att hackare utnyttjar komprometterande webbplatser för att distribuera falska uppdateringar för populära program som används för att leverera NetSupport Manager RAT.

NetSupport är en off-the-shelf råtta som systemadministratörer kan använda för fjärradministration av datorer. Cyberbrottslingar brukade missbruk denna legitima för att distribuera skadlig programvara på användarnas datorer.

nyligen, FireEye säkerhetsexperter har registrerat en hacking kampanj som varit aktiv under de senaste månaderna och har varit att utnyttja äventyras webbplatser att sprida falska uppdateringar för populär mjukvaran (dvs. Adobe Flash, Chrome och FireFox) som användes också till att leverera verktyget NetSupport Manager fjärråtkomst (råtta).

Så snart som användarna har utfört uppdateringar, hämtas en skadlig JavaScript-fil vanligtvis från en Dropbox-länk.

”Under de senaste månaderna, har FireEye spåras en i-the-wild kampanj att utnyttjar äventyras webbplatser att sprida falska uppdateringar. I vissa fall var nyttolasten verktyget NetSupport Manager fjärråtkomst (råtta) ”. FireEye analys staterna.

”Operatören bakom dessa kampanjer använder äventyras webbplatser för att sprida falska uppdateringar maskerad som Adobe Flash, Chrome och FireFox uppdateringar”.

JavaScript-filen samlar in information på måldatorn och skickar den till servern. I sin tur servern skickar ytterligare kommandon och kör ett JavaScript för att leverera den slutliga nyttolasten. Det JavaScript som levererar slutliga nyttolasten kallas Update.js, och den körs från %AppData% med hjälp av wscript.exe.

”Eftersom malware använder ringer och anropsmottagaren funktionskoden för att härleda nyckeln, om analytikern lägger till eller tar bort något från första eller andra lager skriptet, skriptet inte kommer att kunna hämta nyckeln och avslutas med ett undantag”. analysen läser.

Exekveras, JavaScript kontakter på kommando och kontroll (C & C) server och skickar ett värde med namnet ‘tid’ och aktuella datum för systemet i ett kodat format. Då servern ger ett svar som skriptet avkodar efter det och utför det som en funktion kallas steg 2.

Step2 funktionen samlar och kodar olika systeminformationen och skickar den till servern efter det: datornamn, användarnamn, arkitektur, processorer, OS, domän, BIOS-version, tillverkare, modell, mot-spyware produkt, mot-virus produkt, MAC-adress, tangentbord, pekdon, Visa controller konfiguration och processlista.

Sedan svarar servern med en funktion som kallas steg 3 och Update.js, som är skriptet att nedladdningar och utför den slutliga nyttolasten.

Javascript använder PowerShell-kommandon för att hämta flera filer från servern, inklusive:

  • 7za.exe: 7zip fristående körbar
  • LogList.rtf: Lösenordsskyddad arkivfil
  • UPD.cmd: Batch-skript för att installera NetSupport klienten
  • Downloads.txt: Lista över IPs (eventuellt infekterade systemen)
  • Get.php: Nedladdningar LogList.rtf

De uppgifter som utförs av skriptet är:

1. Extraktet arkivet med 7zip körbara med det lösenord som nämns i script.
2. efter extraktion, Radera nedladdade arkivfilen (loglist.rtf).
3. inaktivera Windows Felrapportering och App kompatibilitet.
4. lägga till fjärrkontroll klient körbara till brandväggen tillåts programlistan.
5. köra fjärrkontroll verktyg (client32.exe).
6. lägga till springa registren intrade med namnet ”ManifestStore” eller nedladdningar genvägsfilen till startmappen.
7. dölja filer med hjälp av attribut.
8. ta bort alla artefakter (7zip körbara filer, skript, arkivfil).

Hackare använder NetSupport chefen för att få fjärråtkomst till komprometterat system och kontroll över den.

Det slutliga JavaScriptet hämtas en lista över IP-adresser som kan vara komprometterat system, de flesta av dem i USA, Tyskland och Nederländerna.


Leave a Reply

Your email address will not be published. Required fields are marked *