NetSupport rata

Los sectores de educación, gobierno y servicios empresariales están siendo atacados por actores de amenazas que utilizan un troyano de acceso remoto conocido como NetSupport RAT. Este software amenazante se entrega a través de actualizaciones engañosas, descargas no autorizadas, el uso de cargadores de malware como GHOSTPULSE y varios tipos de campañas de phishing. En tan solo unas pocas semanas, los investigadores de ciberseguridad han identificado numerosas infecciones relacionadas con NetSupport RAT.

NetSupport RAT comenzó como una herramienta legítima

Aunque NetSupport Manager inicialmente sirvió como una herramienta legítima de administración remota diseñada para soporte técnico, los actores de amenazas lo han reutilizado brutalmente. Aprovechan la herramienta como punto de apoyo para llevar a cabo ataques posteriores. NetSupport RAT se implementa comúnmente en la computadora de la víctima a través de sitios web engañosos y actualizaciones fraudulentas del navegador.

En 2022, los investigadores de ciberseguridad descubrieron una campaña de ataque dirigido que involucraba sitios de WordPress comprometidos. Estos sitios se utilizaron para mostrar páginas falsas de protección DDoS de Cloudflare, lo que llevó a la difusión de NetSupport RAT.

¿Cómo infecta NetSupport RAT los dispositivos específicos?

La implementación de actualizaciones falsificadas de navegadores web es una estrategia comúnmente vinculada a la utilización de un programa malicioso de descarga basado en JavaScript llamado SocGholish (también conocido como FakeUpdates). También se ha observado que esta variante de malware difunde un cargador de malware identificado como BLISTER .

Luego, la carga útil de JavaScript activa PowerShell para establecer una conexión con un servidor remoto, recuperando un archivo ZIP que contiene NetSupport RAT. Tras la instalación, esta RAT comienza a comunicarse con un servidor de comando y control (C2, C&C).

Una vez completamente establecido en el dispositivo de la víctima, NetSupport obtiene la capacidad de monitorear actividades, transferir archivos, manipular configuraciones de computadora y moverse lateralmente a otros dispositivos dentro de la red.

Los RAT (troyanos de acceso remoto) se encuentran entre las amenazas de malware más dañinas

Las RAT se consideran una de las amenazas de malware más dañinas debido a su capacidad para proporcionar acceso y control no autorizados sobre la computadora o red de una víctima. A continuación se presentan varias razones por las que las RAT plantean riesgos importantes:

• Acceso y control no autorizados : las RAT permiten a los atacantes obtener control total sobre un sistema objetivo de forma remota. Este nivel de acceso les permite ejecutar diversas actividades maliciosas sin el conocimiento o consentimiento del usuario.
• Operación sigilosa : las RAT están diseñadas para operar de manera encubierta, a menudo evadiendo la detección mediante medidas de seguridad tradicionales. Su naturaleza sigilosa les permite pasar desapercibidos durante períodos prolongados, lo que les da a los atacantes tiempo suficiente para llevar a cabo sus objetivos maliciosos.
• Robo de datos y espionaje : las RAT se pueden utilizar para recopilar información confidencial, como datos personales, credenciales de inicio de sesión, información financiera y propiedad intelectual. Estos datos recopilados pueden explotarse para obtener ganancias financieras, espionaje corporativo o nuevos ataques cibernéticos.
• Vigilancia y seguimiento : las RAT permiten la vigilancia en tiempo real de las actividades de una víctima. Los atacantes pueden monitorear las pulsaciones de teclas, realizar capturas de pantalla, acceder a archivos e incluso activar cámaras web y micrófonos, lo que genera una grave invasión de la privacidad.
• Persistencia : las RAT suelen estar diseñadas para mantener la persistencia en los sistemas infectados, garantizando que continúen funcionando incluso después de reinicios o análisis del software de seguridad. Esta resistencia hace que sea difícil eliminarlos por completo.
• Propagación y movimiento lateral : una vez que un sistema se ve comprometido, las RAT pueden facilitar el movimiento lateral a través de una red, infectando múltiples dispositivos. Esta capacidad permite a los atacantes ampliar su control y potencialmente causar daños generalizados.
• Facilitación de ataques adicionales : las RAT pueden servir como puerta de entrada para otros tipos de malware o amenazas persistentes avanzadas (APT). Los atacantes pueden utilizar el sistema comprometido como punto de lanzamiento para futuros ataques, lo que convierte la infracción inicial en un punto crítico de vulnerabilidad.
• Uso en ataques dirigidos : las RAT se emplean con frecuencia en ataques dirigidos contra individuos, organizaciones o industrias específicas. Su personalización y adaptabilidad los convierten en herramientas valiosas para ciberdelincuentes con objetivos específicos.

En general, la combinación de sigilo, persistencia y la amplia gama de capacidades asociadas con las RAT las hace particularmente peligrosas y una preocupación importante para los profesionales y organizaciones de ciberseguridad. Prevenir, detectar y mitigar el impacto de las infecciones RAT requiere medidas sólidas de ciberseguridad y una vigilancia continua.