NetSupportManager是一款面向普通用户的远程控制软件,经常被攻击者滥用。与基于命令行的后门或远程控制木马不同,使用远程控制工具不仅更加友好,而且更容易躲避检测。分析人士发现,攻击者通过伪装成神奇宝贝游戏的钓鱼页面分发NetSupportManager。由于其恶意目的,研究人员将其称为NetSupportRAT。NetSupportRAT已被攻击者利用并通过不同的垃圾邮件或网络钓鱼网站进行分发。下面是钓鱼网站的界面,当用户点击PlayonPC按钮时,它会触发下载NetSupportManager而不是Pokemon游戏。从钓鱼网站下载的文件使用欺骗性图标和文件描述信息,使用户误认为是游戏程序并点击执行。该文件将恶意软件描述为使用InnoSetup开发的安装程序。执行时,恶意软件会在%APPDATA%路径下创建一个文件夹,并在执行前创建隐蔽的NetSupportRAT相关文件。还在启动文件夹下创建了快捷方式,以在重新启动后保持运行。在下图中的进程树中,最后执行的client32.exe就是NetSupportManager客户端。ProcessTree虽然安装的程序本身是一个良性程序,但是攻击者在配置文件client32.ini中嵌入了C&C服务器的地址。用户执行后,程序会根据配置文件与攻击者建立连接,从而使攻击者控制被攻陷的主机。程序文件和配置文件基于全球遥测分析,研究人员发现了一个不同的网络钓鱼站点,但格式与假Pokémon站点相同。自2022年12月以来,多个钓鱼站点一直在分发相同的NetSupportRATDropper。尽管它们的文件不同,但配置文件中都包含相同的C&C服务器地址。通信流量样本中存在伪装成VisualStudio恶意样本的图标,研究人员判断攻击者是通过伪装成多个应用程序进行分发的。伪装成VisualStudio的样本还有一个伪装成普通Windows程序svchost.exe的文件csvs.exe。虽然图标和文件大小不同,但实际上可以确认这是攻击者为了绕过检测而修改的client32。EXE文件。最近发现NetSupportRAT通过伪装成发票、采购订单等的垃圾邮件分发篡改文件。安装完成后,攻击者将获得对受感染主机的控制权。NetSupport不仅支持远程控制,还支持截屏、剪贴板共享、文件管理和命令执行等。NetSupport支持的功能最近,攻击者滥用各种远程控制工具。建议用户安装可靠的应用程序,不要随便相信可疑的电子邮件附件。
