События

RAT NetSupport Manager распространяется через поддельные обновления для Adobe Flash, Chrome и FireFox

Исследователи безопасности из компании FireEye выявили вредоносную кампанию, в ходе которой злоумышленники использовали скомпрометированные web-сайты для распространения вредоносного ПО под видом обновлений для популярных приложений, в том числе Adobe Flash, Chrome и FireFox. В ряде случаев через обновления распространялся легитимный инструмент для удаленного доступа (remote access tool, RAT) NetSupport Manager.

Коммерчески доступный инструмент NetSupport Manager используется администраторами для удаленного доступа к компьютерам пользователей. Однако, легитимное приложение может быть использовано и злоумышленниками, устанавливающими его на компьютеры жертвы.

Атакующие распространяют инструмент через взломанные сайты и маскируют его под обновления для популярных приложений. Если пользователь устанавливает обновление, на его устройство загружается вредоносный файл JavaScript.

Файл собирает основную системную информацию и отправляет ее на C&C-сервер, получает дополнительные команды, а затем выполняет скрипт JavaScript для доставки вредоносной полезной нагрузки. Затем файл под названием Update.js выполняется из директории %AppData% с помощью wscript.exe, пояснили специалисты.

Авторы вредоносного кода применили несколько уровней обфускации к исходному файлу JavaScript и попытались усложнить анализ второго файла JavaScript.

После исполнения файл JavaScript инициирует подключение к C&C-серверу и отправляет значение tid с текущей датой системы в зашифрованном формате. Затем скрипт дешифрует ответ сервера и выполняет его как функцию с именем step2.

Данная функция собирает различную системную информацию, в частности данные об архитектуре, имени компьютера, имени пользователя, процессоре, ОС, домене, производителе, модели, версии BIOS, наличии защитных решений, MAC-адресе, клавиатуре, конфигурации контроллера дисплея и списке процессов. В ответ сервер отправляет функцию с именем step3 и файлом Update.js, который в свою очередь загружает и исполняет конечную вредоносную полезную нагрузку.

В коде используются команды PowerShell для загрузки нескольких файлов с сервера, включая автономный исполняемый файл 7zip, содержащий инструмент для удаленного доступа, и пакетный скрипт для установки клиента NetSupport на системе.

Скрипт также способен отключать отчеты об ошибках Windows и совместимости приложений, добавлять исполняемый файл инструмента в список разрешенных программ, загружать ярлык в папку «Автозагрузка», скрывать определенные файлы, удалять артефакты и пр.

С помощью NetSupport Manager злоумышленники могут получить удаленный доступ к взломанным системам, запускать приложения, получать данные о местоположении, а также похищать системную информацию.

По словам специалистов, файл JavaScript также загружает txt-файл, содержащий список IP-адресов, которые могут быть взломаны. Данные IP-адреса расположены в основном в США, Германии и Нидерландах.

Источник

Автор: Сергей Куприянов
9.04.2018 (12:28)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.