Penggodam menyampaikan NetSupport Manager RAT melalui kemas kinian perisian palsu

Computer Security News

Pakar Keselamatan FireEye telah mendapati bahawa penggodam akan memanfaatkan laman-laman web yang terjejas untuk mengedar palsu pengemaskinian untuk perisian popular yang digunakan untuk menghantar NetSupport Manager RAT.

NetSupport adalah sebuah off-the-shelf TIKUS yang boleh digunakan oleh pentadbir sistem untuk komputer jauh. Penjenayah siber yang digunakan terdedah kepada penyalahgunaan permohonan ini sah untuk menggunakan perisian perosak pada pengguna PC.

kebelakangan ini, pakar-pakar keselamatan di FireEye telah mendaftar kempen hacking yang telah aktif untuk tempoh beberapa bulan yang lalu dan telah memanfaatkan terjejas Laman web untuk menyebarkan pembaharuan palsu untuk perisian popular (iaitu Adobe Flash, Chrome dan FireFox) yang turut digunakan untuk menyampaikan NetSupport Pengurus capaian jauh alat (TIKUS).

Sebaik sahaja pengguna telah melaksanakan pengemaskinian fail JavaScript yang berniat jahat yang dimuat turun, biasanya dari pautan Dropbox.

“Lepas beberapa bulan yang lalu, FireEye telah dikesan kempen di hutan bahawa memanfaatkan terjejas tapak untuk menyebarkan pengemaskinian palsu. Dalam sesetengah kes, muatan itu adalah alat NetSupport Pengurus capaian jauh (TIKUS).” Syarikat analisis FireEye.

“Pengendali di sebalik kegunaan kempen ini terjejas tapak untuk menyebarkan kemas palsu yang bersandiwara sebagai Update Adobe Flash, Chrome, dan FireFox.”

Fail JavaScript mengumpul maklumat dalam komputer sasaran dan menghantarnya kepada pelayan. Seterusnya, pelayan menghantar arahan tambahan dan melaksanakan JavaScript untuk menghantar muatan yang akhir. JavaScript yang menghantar muatan akhir yang dipanggil Update.js, dan ia dilaksanakan dari %AppData% dengan bantuan wscript.exe.

“Sejak malware yang menggunakan kod fungsi pemanggil dan callee untuk memperolehi kunci, jika penganalisis telah menambah atau membuang apa-apa dari skrip lapisan pertama atau kedua, skrip tidak akan mampu untuk mengambil kunci dan akan menamatkan dengan pengecualian.” membaca analisis.

Sedang dilaksanakan, JavaScript kenalan perintah dan kawalan (C & C) pelayan dan menghantar nilai yang dinamakan ‘tid’ dan tarikh semasa sistem dalam format yang dikodkan. Kemudian pelayan menyediakan maklum balas yang skrip menyahkod selepas itu dan melaksanakannya sebagai fungsi dipanggil DSTN2.

Fungsi DSTN2 mengumpul dan encodes pelbagai sistem maklumat dan menghantarnya kepada pelayan selepas itu: nama komputer, nama pengguna, seni bina, pemproses, OS, domain, versi BIOS, pengeluar, model, produk anti-spyware, produk anti virus, alamat MAC, papan kekunci, peranti penunjuk, memaparkan konfigurasi pengawal dan proses senarai.

Kemudian, pelayan bertindak balas dengan fungsi dipanggil langkah 3 dan Update.js, yang script untuk muat turun dan melaksanakan muatan yang akhir.

Javascript menggunakan PowerShell perintah untuk memuat turun beberapa fail dari pelayan, termasuk:

  • 7za.exe: berdiri 7zip boleh laku
  • LogList.rtf: Arkib yang dilindungi kata laluan fail
  • UPD.cmd: Kumpulan skrip untuk memasang klien NetSupport
  • Downloads.txt: Senarai IPs (mungkin sistem dijangkiti)
  • Get.php: Muat turun LogList.rtf

Tugas-tugas yang dilakukan oleh skrip adalah:

1. Cabutan Arkib menggunakan 7zip yang boleh laku dengan laluan yang disebut dalam \nLebih yang
2. selepas pengekstrakan, memadam fail Arkib dimuat turun (loglist.rtf).
3. menyahdayakan Windows pelaporan ralat dan aplikasi keserasian.
4. Tambah boleh laku klien alat kawalan jauh untuk firewall yang dibenarkan senarai program.
5. Jalankan alat kawalan jauh (client32.exe).
6. Tambah menjalankan pendaftaran kemasukan dengan nama “ManifestStore” atau muat turun fail pintasan ke Startup folder.
7. menyembunyikan fail yang menggunakan atribut.
8. hapuskan semua artifak (laksana 7zip, skrip, fail Arkib).

Penggodam guna Pengurus NetSupport untuk mendapatkan capaian jauh kepada sistem terjejas dan mengawalnya.

JavaScript akhir memuat turun senarai alamat IP yang boleh dikompromi sistem, kebanyakan mereka di Amerika Syarikat, Jerman dan Belanda.


Leave a Reply

Your email address will not be published. Required fields are marked *