NetSupport RAT

Les secteurs de l'éducation, du gouvernement et des services aux entreprises sont attaqués par des acteurs malveillants utilisant un cheval de Troie d'accès à distance connu sous le nom de NetSupport RAT. Ce logiciel menaçant est diffusé via des mises à jour trompeuses, des téléchargements inopinés, l'utilisation de chargeurs de logiciels malveillants comme GHOSTPULSE et divers types de campagnes de phishing. En quelques semaines seulement, les chercheurs en cybersécurité ont identifié de nombreuses infections liées au NetSupport RAT.

Le NetSupport RAT a démarré comme un outil légitime

Bien que NetSupport Manager ait initialement servi d’outil d’administration à distance légitime conçu pour le support technique, il a été vicieusement réutilisé par les acteurs malveillants. Ils exploitent l’outil comme point d’appui pour mener des attaques ultérieures. Le NetSupport RAT est généralement déployé sur l'ordinateur d'une victime via des sites Web trompeurs et des mises à jour frauduleuses du navigateur.

En 2022, des chercheurs en cybersécurité ont découvert une campagne d’attaque ciblée impliquant des sites WordPress compromis. Ces sites ont été utilisés pour présenter de fausses pages de protection Cloudflare DDoS, conduisant à la diffusion du NetSupport RAT.

Comment le NetSupport RAT infecte-t-il les appareils ciblés ?

Le déploiement de mises à jour contrefaites de navigateur Web est une stratégie généralement liée à l'utilisation d'un logiciel malveillant de téléchargement basé sur JavaScript appelé SocGholish (également connu sous le nom de FakeUpdates). Cette variante de malware a également été observée en train de diffuser un malware de chargement identifié comme BLISTER .

La charge utile JavaScript déclenche ensuite PowerShell pour établir une connexion avec un serveur distant, récupérant un fichier d'archive ZIP contenant le RAT NetSupport. Lors de l'installation, ce RAT commence à communiquer avec un serveur de commande et de contrôle (C2, C&C).

Une fois entièrement installé sur l'appareil d'une victime, NetSupport acquiert la capacité de surveiller les activités, de transférer des fichiers, de manipuler les configurations informatiques et de se déplacer latéralement vers d'autres appareils au sein du réseau.

Les RAT (chevaux de Troie d'accès à distance) comptent parmi les menaces de logiciels malveillants les plus nuisibles

Les RAT sont considérés comme l'une des menaces de logiciels malveillants les plus dommageables en raison de leur capacité à fournir un accès et un contrôle non autorisés sur l'ordinateur ou le réseau d'une victime. Voici plusieurs raisons pour lesquelles les RAT présentent des risques importants :

• Accès et contrôle non autorisés : les RAT permettent aux attaquants de prendre le contrôle complet d'un système ciblé à distance. Ce niveau d'accès leur permet d'exécuter diverses activités malveillantes à l'insu ou sans le consentement de l'utilisateur.
• Fonctionnement furtif : les RAT sont conçus pour fonctionner secrètement, échappant souvent à la détection par les mesures de sécurité traditionnelles. Leur nature furtive leur permet de ne pas être détectés pendant de longues périodes, ce qui laisse aux attaquants suffisamment de temps pour atteindre leurs objectifs malveillants.
• Vol de données et espionnage : les RAT peuvent être utilisés pour collecter des informations sensibles, telles que des données personnelles, des identifiants de connexion, des informations financières et de la propriété intellectuelle. Ces données collectées peuvent être exploitées à des fins de gain financier, d’espionnage industriel ou de nouvelles cyberattaques.
• Surveillance et suivi : les RAT permettent de surveiller en temps réel les activités d'une victime. Les attaquants peuvent surveiller les frappes au clavier, capturer des captures d’écran, accéder aux fichiers et même activer des webcams et des microphones, entraînant ainsi une grave atteinte à la vie privée.
• Persistance : les RAT sont souvent conçus pour maintenir la persistance sur les systèmes infectés, garantissant qu'ils continuent de fonctionner même après des redémarrages ou des analyses de logiciels de sécurité. Cette résilience rend difficile leur suppression complète.
• Propagation et mouvement latéral : une fois qu'un système est compromis, les RAT peuvent faciliter les mouvements latéraux à travers un réseau, infectant plusieurs appareils. Cette capacité permet aux attaquants d’étendre leur contrôle et potentiellement de causer des dégâts considérables.
• Facilitation d'attaques supplémentaires : les RAT peuvent servir de passerelle pour d'autres types de logiciels malveillants ou de menaces persistantes avancées (APT). Les attaquants peuvent utiliser le système compromis comme point de départ pour d’autres attaques, faisant de la violation initiale un point critique de vulnérabilité.
• Utilisation dans des attaques ciblées : les RAT sont fréquemment utilisés dans des attaques ciblées contre des individus, des organisations ou des secteurs spécifiques. Leur personnalisation et leur adaptabilité en font des outils précieux pour les cybercriminels ayant des objectifs précis.

Dans l’ensemble, la combinaison de la furtivité, de la persistance et du large éventail de capacités associées aux RAT les rend particulièrement dangereux et constitue une préoccupation majeure pour les professionnels et les organisations de cybersécurité. Prévenir, détecter et atténuer l’impact des infections RAT nécessite des mesures de cybersécurité robustes et une vigilance continue.