Хакери доставити NetSupport Manager RAT через фальшивий програмного забезпечення оновлень

Computer Security News

FireEye безпеки експерти виявили, що хакери є спираючись порушення безпеки веб-сайтів для розповсюдження підроблених оновлень для популярної програми передавати NetSupport Manager RAT.

NetSupport є від готових ПАЦЮКИ, які адміністратори система може використовувати для віддаленого адміністрування комп’ютерів. Кібер-злочинці використовується для порушення законних застосунку для розгортання зловмисного програмного забезпечення на ПК користувачів.

останнім часом безпеки експертів на FireEye зареєстрували злому кампанії, яка брала активну участь протягом останніх декількох місяців і була мобілізації скомпрометований веб-сайти для розповсюдження підроблених оновлень для популярної програми (тобто Adobe Flash, хром і FireFox), які також були використані, щоб доставити засіб віддаленого доступу NetSupport менеджер (КРИСА).

Як тільки користувачам виконали оновлення, шкідливий JavaScript файл завантажується, зазвичай з Dropbox посилання.

“За останні кілька місяців, FireEye, містить неприйняті в дикому кампанії, важелі під загрозу сайтів для розповсюдження підроблених оновлень. У деяких випадках Деструктивна був засіб віддаленого доступу NetSupport менеджер (КРИСА).” FireEye аналіз держав.

“Оператор позаду цих кампаній використовує скомпрометований сайтів для розповсюдження підроблених оновлення Маськарадінг як Adobe Flash, хром і FireFox оновлення”.

Файл JavaScript збирає інформацію на цільовий комп’ютер і відправляє її на сервер. У свою чергу, сервер надсилає додаткові команди та виконує JavaScript до доставки кінцевого Деструктивна. JavaScript, яка забезпечує остаточний Деструктивна називається Update.js, і він виконується з %AppData% за допомогою wscript.exe.

“Оскільки шкідливі програми використовує абонента і callee код функції для отримання ключа, якщо аналітик додає або видаляє все, від першого або другого шару сценарій, сценарій не зможуть отримати ключ і закінчиться з виключення”. аналіз читає.

Стратою, JavaScript контакти командування і управління (C & C) сервера та надсилає значення імені ‘tid’ і поточну дату системи у кодований форматі. Сервер надає відповідь, то який скрипт декодує після цього і виконує його як функція називається кроці 2.

Функція кроці 2 збирає і кодує різних системної інформації і відправляє її на сервер після цього: ім’я комп’ютера, ім’я користувача, архітектура, процесори, OS домену версію BIOS, виробник, модель, анти шпигунського продукту, продукт анти-вірус, MAC-адресу, клавіатура, вказівний пристрій відображення конфігурація контролера і перелік процес.

Потім сервер відповідає з функції, яка називається крок 3 і Update.js, яка є скрипт для завантаження і виконує остаточний Деструктивна.

Javascript використовує команд PowerShell, щоб завантажити декілька файлів з сервера, включаючи:

  • 7za.exe: 7zip автономний виконуваний файл
  • LogList.rtf: Захищений паролем архівного файлу
  • UPD.cmd: Пакетна скрипт для встановлення NetSupport клієнта
  • Downloads.txt: Перелік IP-адрес (можливо заражених систем)
  • Get.php: Завантаження LogList.rtf

Завдання, що виконуються сценарій є:

1. Розпаковуємо вміст архіву за допомогою 7zip виконувані з паролем, згадані в сценарій
2. після екстракції, видалити файл завантажений архів (loglist.rtf).
3. вимкнути Windows звітування про помилки та сумісності App.
4. додати пульт дистанційного керування клієнт виконуваний файл, щоб брандмауер до списку дозволених елементів програми.
5. запустіть засіб дистанційного керування (client32.exe).
6. додати запустити запис а реєстру з ім’ям “ManifestStore” або завантаження ярлик файлу до папки автозавантаження.
7. приховати файли за допомогою атрибутів.
8. видалення всіх артефактів (7zip виконуваний файл, сценарій, файл архіву).

Хакери використовують NetSupport менеджер для отримання віддаленого доступу до заражених системах і керувати ним.

Остаточний JavaScript завантажити список IP-адрес, які могли б заражених системах, більшість з них в США, Німеччини та Нідерландів.


Leave a Reply

Your email address will not be published. Required fields are marked *