NetSupport RAT 正利用精灵宝可梦游戏作为诱饵传播

安全
分析人员发现,攻击者通过伪装成精灵宝可梦游戏的钓鱼页面分发 NetSupport Manager。由于其恶意目的,研究人员将其称为 NetSupport RAT。

NetSupport Manager 是一款远程控制软件,普通用户可以使用,也经常被攻击者滥用。与基于命令行的后门或者远控木马不同,使用远程控制工具不仅更加友好,而且容易规避检测。

分析人员发现,攻击者通过伪装成精灵宝可梦游戏的钓鱼页面分发 NetSupport Manager。由于其恶意目的,研究人员将其称为 NetSupport RAT。NetSupport RAT 一直在被攻击者利用,通过不同的垃圾邮件或者钓鱼网站进行分发。

以下是钓鱼网站的界面,当用户点击 Play on PC 按钮时就会触发 NetSupport Manager 的下载,而不是精灵宝可梦游戏。

image.png-738.2kB

钓鱼网站

下载的文件使用欺骗性的图标与文件描述信息,使用户误认为是游戏程序点击执行。

image.png-153.6kB

文件描述

该恶意软件是使用 InnoSetup 开发的安装程序。执行时,恶意软件会在 %APPDATA% 路径下创建一个文件夹,并且在执行前创建隐蔽的 NetSupport RAT 相关文件。在启动文件夹下也创建了快捷方式,以便在重新启动后能维持运行。下图进程树中,最终执行的 client32.exe 即为 NetSupport Manager 客户端。

image.png-77.8kB

进程树

尽管安装的程序本身是良性程序,但攻击者将 C&C 服务器的地址嵌入在配置文件 client32.ini 中。用户执行后,程序会根据配置文件建立与攻击者的连接,从而使得攻击者可以控制失陷主机。

image.png-334.9kB

程序文件与配置文件

根据全球遥测分析,研究人员又发现了一个不同的钓鱼网站,但其格式与虚假的精灵宝可梦网站相同。2022 年 12 月以来,多个钓鱼网站都在分发同类的 NetSupport RAT Dropper。尽管其文件各不相同,但在配置文件中都包含相同的 C&C 服务器地址。

image.png-385.1kB

通信流量

样本中有图标伪装成 Visual Studio 的恶意样本,研究人员判断攻击者通过伪装成多个应用程序进行分发。

image.png-403.3kB

伪装成 Visual Studio 的样本

还有伪装成普通 Windows 程序 svchost.exe 的文件 csvs.exe,尽管图标与文件大小不同,但实际上能确定这是被攻击者修改过的、为了绕过检测的 client32.exe 文件。

image.png-292.6kB

被篡改的文件

最近发现,NetSupport RAT 正在通过的伪装成发-票、采购订单等垃圾邮件进行分发。安装完成后,攻击者就获得了对失陷主机的控制权。NetSupport 不仅支持远程控制,还支持屏幕捕获、剪贴板共享、文件管理和命令执行等。

image.png-229.5kB

NetSupport 支持的功能

近期,攻击者一直在滥用各种远程控制工具。建议用户安装可靠的应用程序,不要随便相信可疑邮件的附件。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2016-07-22 15:59:22

软件质量游戏

2016-07-26 10:08:13

移动·开发技术周刊

2016-07-26 09:53:47

iOS应用移动应用版本控制

2021-12-06 09:26:03

黑客恶意程序网络攻击

2021-12-12 09:22:28

Moobot僵尸网络网络攻击

2022-01-12 20:42:28

信息窃取器恶意软件攻击

2019-07-04 14:40:28

FacebookRAT恶意软件

2011-08-30 17:17:57

Android应用iOS应用蓝精灵

2022-03-05 11:42:44

恶意软件黑客

2021-03-11 22:58:18

数字人民币数字货币区块链

2022-06-09 10:42:48

恶意软件网络攻击网络安全

2014-09-23 17:14:39

2012-05-30 10:27:59

移动互联

2011-12-27 21:26:11

移动应用

2015-07-27 10:51:55

程序员快乐

2017-09-07 13:07:00

2015-01-20 11:40:43

2022-07-25 20:45:23

恶意软件Amadey Bot漏洞

2013-07-25 09:54:31

点赞
收藏

51CTO技术栈公众号