Контакты
Подписка
МЕНЮ
Контакты
Подписка

RAT NetSupport Manager распространяется через поддельные обновления для Adobe Flash, Chrome и FireFox

RAT NetSupport Manager распространяется через поддельные обновления для Adobe Flash, Chrome и FireFox

RAT NetSupport Manager распространяется через поддельные обновления для Adobe Flash, Chrome и FireFox


09.04.2018



Исследователи безопасности из компании FireEye выявили вредоносную кампанию, в ходе которой злоумышленники использовали скомпрометированные web-сайты для распространения вредоносного ПО под видом обновлений для популярных приложений, в том числе Adobe Flash, Chrome и FireFox. В ряде случаев через обновления распространялся легитимный инструмент для удаленного доступа (remote access tool, RAT) NetSupport Manager.

 Коммерчески доступный инструмент NetSupport Manager используется администраторами для удаленного доступа к компьютерам пользователей. Однако, легитимное приложение может быть использовано и злоумышленниками, устанавливающими его на компьютеры жертвы.

 Атакующие распространяют инструмент через взломанные сайты и маскируют его под обновления для популярных приложений. Если пользователь устанавливает обновление, на его устройство загружается вредоносный файл JavaScript.

 Файл собирает основную системную информацию и отправляет ее на C&C-сервер, получает дополнительные команды, а затем выполняет скрипт JavaScript для доставки вредоносной полезной нагрузки. Затем файл под названием Update.js выполняется из директории %AppData% с помощью wscript.exe, пояснили специалисты.

 Авторы вредоносного кода применили несколько уровней обфускации к исходному файлу JavaScript и попытались усложнить анализ второго файла JavaScript.

 После исполнения файл JavaScript инициирует подключение к C&C-серверу и отправляет значение tid с текущей датой системы в зашифрованном формате. Затем скрипт дешифрует ответ сервера и выполняет его как функцию с именем step2.

 Данная функция собирает различную системную информацию, в частности данные об архитектуре, имени компьютера, имени пользователя, процессоре, ОС, домене, производителе, модели, версии BIOS, наличии защитных решений, MAC-адресе, клавиатуре, конфигурации контроллера дисплея и списке процессов. В ответ сервер отправляет функцию с именем step3 и файлом Update.js, который в свою очередь загружает и исполняет конечную вредоносную полезную нагрузку.

 В коде используются команды PowerShell для загрузки нескольких файлов с сервера, включая автономный исполняемый файл 7zip, содержащий инструмент для удаленного доступа, и пакетный скрипт для установки клиента NetSupport на системе.

 Скрипт также способен отключать отчеты об ошибках Windows и совместимости приложений, добавлять исполняемый файл инструмента в список разрешенных программ, загружать ярлык в папку "Автозагрузка", скрывать определенные файлы, удалять артефакты и пр.

 С помощью NetSupport Manager злоумышленники могут получить удаленный доступ к взломанным системам, запускать приложения, получать данные о местоположении, а также похищать системную информацию.

 По словам специалистов, файл JavaScript также загружает txt-файл, содержащий список IP-адресов, которые могут быть взломаны. Данные IP-адреса расположены в основном в США, Германии и Нидерландах.

 

Securitylab