Los agentes de amenazas están enfocando sus ataques en los sectores de educación, gobierno y servicios empresariales mediante el uso de un troyano de acceso remoto conocido como NetSupport RAT.
La firma de ciberseguridad reveló que ha identificado al menos 15 nuevas infecciones relacionadas con NetSupport RAT en las últimas semanas.
Aunque NetSupport Manager comenzó como una herramienta legítima de administración remota destinada a brindar asistencia técnica y soporte, los actores maliciosos han desviado el propósito de la herramienta para utilizarla como punto de partida en ataques posteriores.
Por lo general, NetSupport RAT se descarga en la computadora de la víctima a través de sitios web engañosos y falsas actualizaciones de navegadores.
En agosto de 2022, Sucuri detalló una campaña en la que sitios de WordPress comprometidos se empleaban para mostrar páginas fraudulentas de protección DDoS de Cloudflare, lo que conducía a la distribución de NetSupport RAT.
El uso de actualizaciones falsas de navegadores web es una táctica a menudo asociada con el despliegue de un malware descargador basado en JavaScript conocido como SocGholish (también llamado FakeUpdates), que también se ha observado propagando un malware cargador denominado BLISTER.
La carga útil de JavaScript invoca posteriormente a PowerShell para conectarse a un servidor remoto y recuperar un archivo ZIP que contiene NetSupport RAT, que, al ser instalado, emite señales a un servidor de control y comando (C2).