RAT NetSupport Manager распространяется через поддельные обновления для Adobe Flash, Chrome и FireFox

Исследователи безопасности из компании FireEye выявили вредоносную кампанию, в ходе которой злоумышленники использовали скомпрометированные web-сайты для распространения вредоносного ПО под видом обновлений для популярных приложений, в том числе Adobe Flash, Chrome и FireFox. В ряде случаев через обновления распространялся легитимный инструмент для удаленного доступа (remote access tool, RAT) NetSupport Manager.

Коммерчески доступный инструмент NetSupport Manager используется администраторами для удаленного доступа к компьютерам пользователей. Однако, легитимное приложение может быть использовано и злоумышленниками, устанавливающими его на компьютеры жертвы.

Атакующие распространяют инструмент через взломанные сайты и маскируют его под обновления для популярных приложений. Если пользователь устанавливает обновление, на его устройство загружается вредоносный файл JavaScript.

Файл собирает основную системную информацию и отправляет ее на C&C-сервер, получает дополнительные команды, а затем выполняет скрипт JavaScript для доставки вредоносной полезной нагрузки. Затем файл под названием Update.js выполняется из директории %AppData% с помощью wscript.exe, пояснили специалисты.

Авторы вредоносного кода применили несколько уровней обфускации к исходному файлу JavaScript и попытались усложнить анализ второго файла JavaScript.

После исполнения файл JavaScript инициирует подключение к C&C-серверу и отправляет значение tid с текущей датой системы в зашифрованном формате. Затем скрипт дешифрует ответ сервера и выполняет его как функцию с именем step2.

Данная функция собирает различную системную информацию, в частности данные об архитектуре, имени компьютера, имени пользователя, процессоре, ОС, домене, производителе, модели, версии BIOS, наличии защитных решений, MAC-адресе, клавиатуре, конфигурации контроллера дисплея и списке процессов. В ответ сервер отправляет функцию с именем step3 и файлом Update.js, который в свою очередь загружает и исполняет конечную вредоносную полезную нагрузку.

В коде используются команды PowerShell для загрузки нескольких файлов с сервера, включая автономный исполняемый файл 7zip, содержащий инструмент для удаленного доступа, и пакетный скрипт для установки клиента NetSupport на системе.

Скрипт также способен отключать отчеты об ошибках Windows и совместимости приложений, добавлять исполняемый файл инструмента в список разрешенных программ, загружать ярлык в папку «Автозагрузка», скрывать определенные файлы, удалять артефакты и пр.

С помощью NetSupport Manager злоумышленники могут получить удаленный доступ к взломанным системам, запускать приложения, получать данные о местоположении, а также похищать системную информацию.

По словам специалистов, файл JavaScript также загружает txt-файл, содержащий список IP-адресов, которые могут быть взломаны. Данные IP-адреса расположены в основном в США, Германии и Нидерландах.

Источник