Hacker memberikan NetSupport Manager RAT melalui pembaruan perangkat lunak palsu

Computer Security News

Pakar keamanan FireEye telah menemukan bahwa hacker adalah memanfaatkan dikompromikan website untuk mendistribusikan palsu update untuk perangkat lunak populer digunakan untuk menyampaikan NetSupport Manager RAT.

NetSupport adalah off tikus yang sistem admin dapat digunakan untuk administrasi remote komputer. Penjahat Cyber digunakan untuk penyalahgunaan aplikasi ini sah untuk menyebarkan malware pada pengguna PC.

baru-baru ini, para ahli keamanan FireEye telah terdaftar kampanye hacking yang telah aktif selama beberapa bulan dan telah memanfaatkan dikompromikan situs web untuk menyebarkan palsu update untuk perangkat lunak populer (yaitu Adobe Flash, Chrome dan FireFox) yang juga digunakan untuk memberikan perangkat akses remote manajer NetSupport (tikus).

Segera setelah pengguna telah dieksekusi pembaruan, file JavaScript berbahaya download, biasanya dari Dropbox link.

“Selama beberapa bulan terakhir, FireEye telah dilacak kampanye di-the-wild bahwa memanfaatkan dikompromikan situs untuk menyebarkan palsu update. Dalam beberapa kasus, muatan adalah perangkat akses remote manajer NetSupport (tikus).” analisis FireEye Amerika Serikat.

“Operator di balik kampanye ini menggunakan dikompromikan situs untuk menyebarkan update palsu yang menyamar sebagai Adobe Flash, Chrome, dan FireFox update.”

JavaScript file mengumpulkan informasi pada komputer target dan mengirimkannya ke server. Pada gilirannya, server mengirimkan perintah tambahan dan mengeksekusi JavaScript untuk memberikan muatan akhir. JavaScript yang memberikan muatan akhir ini disebut Update.js, dan dijalankan dari %AppData% dengan bantuan dari wscript.exe.

“Karena malware menggunakan kode fungsi pemanggil dan callee untuk mendapatkan kunci, jika analis menambahkan atau menghapus sesuatu dari lapisan pertama atau kedua script, script tidak akan mampu mengambil kunci dan akan berakhir dengan pengecualian.” Analisis membaca.

Dieksekusi, JavaScript kontak komando dan kontrol (C & C) server dan mengirimkan nilai yang bernama ‘tid’ dan tanggal saat ini sistem dalam format dikodekan. Maka server memberikan respon yang script decode setelah itu dan mengeksekusinya sebagai fungsi disebut step2.

Fungsi step2 mengumpulkan dan encode berbagai sistem informasi dan mengirimnya ke server setelah itu: nama komputer, nama pengguna, arsitektur prosesor, OS, domain, versi BIOS, produsen, model, produk anti-spyware, anti virus produk, alamat MAC, alamat keyboard, menunjuk perangkat, menampilkan konfigurasi controller, dan daftar proses.

Kemudian, server merespon dengan fungsi disebut step3 dan Update.js, yang merupakan script untuk download dan mengeksekusi payload akhir.

Javascript menggunakan PowerShell perintah untuk men-download file dari server, termasuk:

  • 7za.exe: 7zip standalone executable
  • LogList.rtf: Dilindungi sandi Arsip file
  • Upd.CMD: Batch script untuk menginstal klien NetSupport
  • Downloads.txt: Daftar IP (mungkin sistem terinfeksi)
  • Get.php: Download LogList.rtf

Adalah tugas yang dilakukan oleh script:

1. Ekstrak arsip dengan menggunakan 7zip eksekusi dengan password yang disebutkan dalam script
2. setelah ekstraksi, menghapus file download arsip (loglist.rtf).
3. menonaktifkan Windows kesalahan pelaporan dan kompatibilitas App.
4. Tambahkan dieksekusi klien remote control untuk firewall yang diperbolehkan daftar program.
5. menjalankan alat remote control (client32.exe).
6. Tambahkan menjalankan entri registri dengan nama “ManifestStore” atau download file cara pintas ke Startup folder.
7. menyembunyikan file menggunakan atribut.
8. Hapus semua artefak (7zip dieksekusi, script, file arsip).

Hacker gunakan pengelola NetSupport untuk mendapatkan akses remote ke sistem dikompromikan dan kontrol.

JavaScript akhir download daftar alamat IP yang bisa dikompromikan sistem, kebanyakan dari mereka di AS, Jerman dan Belanda.


Leave a Reply

Your email address will not be published. Required fields are marked *