Рост угрозы: активное распространение NetSupport RAT и ClickFix
Источник: www.esentire.com
Согласно отчету eSentire Threat Response Unit, с начала января 2025 года наблюдается значительное увеличение числа киберинцидентов, связанных с Remote Access Trojan (RAT) NetSupport. Данный инструмент предоставляет злоумышленникам полный контроль над системами жертв, что создает серьезную угрозу безопасности конфиденциальных данных и операционной целостности.
Суть проблемы
NetSupport RAT позволяет злоумышленникам:
- мониторить экраны жертв в режиме реального времени;
- управлять вводом данных;
- выполнять вредоносные команды.
Использование NetSupport RAT стало заметно связано с новым методом атак, известным как ClickFix, который использует тактики социальной инженерии для манипуляции пользователями.
Методы атаки
Кампания по развертыванию NetSupport RAT осуществляется хакерами, идентифицированными как TA569 и SmartApe SG, они применяют ложные уведомления об обновлениях браузеров для распространения вредоносного программного обеспечения.
Легитимность NetSupport, первоначально разработанного в 1989 году для удаленной ИТ-поддержки, была подорвана его использованием в вредоносных операциях. После установки NetSupport RAT хакеры получают доступ к широким возможностям:
- мониторинг в реальном времени;
- фильтрация данных;
- загрузка дополнительных вредоносных программ.
Метод ClickFix
ClickFix специально использует поддельные веб-страницы с капчами, которые направляют пользователей выполнять команды, предоставленные злоумышленниками. Эти команды ведут к загрузке клиента NetSupport RAT по замаскированным URL-адресам, вроде файлообразных расширений «.png». При выполнении команд PowerShell загружаются критические компоненты, такие как client32.exe и client32.ini, что облегчает установление соединений командно-контрольного типа (C2).
Рекомендации по безопасности
В ответ на эту растущую угрозу организациям настоятельно рекомендуется:
- усилить меры безопасности;
- провести обучение пользователей методам защиты;
- внедрить инструменты обнаружения конечных точек и реагирования на них (EDR);
- ограничить permisos пользователей;
- предоставить надежные источники для загрузки одобренного программного обеспечения.
Для повышения безопасности также рекомендуется отключить элементы системы, которые могут облегчить эксплуатацию, включая приглашение к запуску и различные сценарии с использованием групповой политики и управления приложениями Windows Defender.
Заключение
eSentire активно отслеживает ситуацию и уже усовершенствовала свои защитные возможности. Они выявили признаки, характерные для ClickFix, и заблокировали связанные с ними IP-адреса с помощью глобального списка заблокированных. Команда анализа угроз продолжает работать над устранением потенциальных уязвимостей и совершенствованием методов их обнаружения, чтобы помочь клиентам эффективно снижать риск RAT-атак NetSupport.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
