Hakerzy dostarczyć NetSupport Manager RAT poprzez fałszywe aktualizacje

Computer Security News

FireEye zabezpieczeń eksperci odkryli, że hakerzy są wykorzystując złamany witryn sieci Web do rozpowszechniania fałszywych aktualizacji dla popularnego oprogramowania do dostarczania NetSupport Manager RAT.

NetSupport School jest gotowych RAT, które Administratorzy systemu można użyć do zdalnego administrowania komputerami. Cyberprzestępcy wykorzystywane do nadużyć tego legalnych aplikacji do wdrażania złośliwego oprogramowania na komputerach użytkowników.

niedawno, eksperci bezpieczeństwa o FireEye zarejestrowanych hacking kampanii, który był aktywny w ciągu ostatnich kilku miesięcy i zostały wykorzystując przejęte witryny sieci Web do rozpowszechniania fałszywych aktualizacji dla popularnego oprogramowania (czyli Adobe Flash, Chrome i FireFox), które były również wykorzystywane do dostarczania NetSupport Manager narzędzie zdalnego dostępu (RAT).

Tak szybko, jak użytkownicy mają wykonać aktualizacje, złośliwy plik JavaScript jest pobrany, zwykle z łącze do Dropbox.

“W ciągu ostatnich kilku miesięcy, FireEye śledzone kampanię w dziki, że wykorzystuje złamany witryny do rozprzestrzeniania fałszywych aktualizacji. W niektórych przypadkach, ładunek był NetSupport Manager narzędzie zdalnego dostępu (RAT).” FireEye analysis państwa.

“Operator za tych zastosowań kampanie złamany witryn do rozprzestrzeniania się fałszywe aktualizacje maskarada jak Adobe Flash, Chrome i FireFox aktualizacje.”

Plik JavaScript gromadzi informacje na komputerze docelowym i wysyła go do serwera. Z kolei serwer wysyła dodatkowe polecenia i wykonuje JavaScript, aby dostarczyć końcowy ładunku. JavaScript, który zapewnia ostateczne ładunku nazywa się Update.js, i jest wykonany z %AppData% za pomocą wscript.exe.

“Ponieważ Szkodnik wykorzystuje kod funkcji obiekt wywołujący i wywoływany do uzyskania klucza, jeśli analityk dodaje lub usuwa wszystko z pierwszej lub drugiej warstwy skryptu, skrypt nie będzie mógł pobrać klucza i zostanie zakończona z powodu wyjątku.” Analiza odczytuje.

Wykonywany, JavaScript kontakty polecenia i kontroli (C & C) serwera i wysyła wartość o nazwie ‘tid’ a bieżącą data systemu w zakodowanym formacie. Następnie serwer dostarcza odpowiedzi co skrypt dekoduje po tym i wykonuje go w funkcji o nazwie krok 2.

Krok 2 funkcja zbiera i koduje różne informacje o systemie i wysyła go na serwer po tym: Nazwa komputera, nazwa użytkownika, architektura, procesory, OS, domeny, wersja BIOS-u, producent, model, anty spyware produkt, produkt antywirusowy, adres MAC, klawiaturę, urządzenie wskazujące, wyświetlanie konfiguracji kontrolera i listy procesów.

Następnie serwer odpowiada funkcji o nazwie krok 3 i Update.js, który jest skrypt do pobrania i wykonuje ostateczne ładunku.

Javascript używa środowiska PowerShell polecenia do pobierania wielu plików z serwera, w tym:

  • 7za.exe: 7zip standalone wykonywalny
  • LogList.rtf: Archiwum chronionego hasłem pliku
  • UPD.cmd: Skrypt wsadowy, aby zainstalować klienta NetSupport
  • Downloads.txt: Listę adresów IP (prawdopodobnie zainfekowanych systemów)
  • Get.php: Pliki do pobrania LogList.rtf

Zadania wykonywane przez skrypt są:

1. Rozpakuj archiwum 7zip wykonywalny za pomocą hasło wymienione w skrypt
2. po ekstrakcji, usunąć plik pobranego archiwum (loglist.rtf).
3. uczynić kaleką Windows błąd raportowania i zgodność aplikacji.
4. dodać plik wykonywalny klienta zdalnego sterowania zapory wolno lista programów.
5. uruchomić narzędzia do zdalnego sterowania (client32.exe).
6. uruchomić Dodaj wpis rejestru z nazwa “ManifestStore” lub pobrania pliku skrótu do folderu Autostart.
7. Ukryj pliki przy użyciu atrybutów.
8. Usuń wszystkie artefakty (plik wykonywalny 7zip, skrypt, plik archiwum).

Hakerzy wykorzystują NetSupport Manager, aby uzyskać dostęp zdalny do włamań i nad nim kontroli.

Końcowy JavaScript pobrać listy adresów IP, które mogą być zagrożone systemy, większość z nich w USA, Niemczech i Holandii.


Leave a Reply

Your email address will not be published. Required fields are marked *