SERANGAN TROJAN RAT NETSUPPORT MENARGETKAN SEKTOR PEMERINTAHAN DAN BISNIS
Pelaku ancaman menargetkan sektor pendidikan, pemerintahan, dan layanan bisnis dengan trojan akses jarak jauh yang disebut NetSupport RAT. Menurut peneliti dari VMware Carbon Black dalam laporan mereka, disebutkan bahwa Mekanisme pengiriman NetSupport RAT dilakukan melalui pembaruan palsu, pengunduhan drive-by, pemanfaatan pemuat malware (seperti GHOSTPULSE), dan berbagai bentuk kampanye phishing. Perusahaan keamanan siber tersebut mengatakan pihaknya mendeteksi tidak kurang dari 15 infeksi baru terkait NetSupport RAT dalam beberapa minggu terakhir.
Meskipun NetSupport Manager awalnya merupakan alat administrasi jarak jauh yang sah untuk bantuan dan dukungan teknis, pelaku kejahatan telah menyalahgunakan alat tersebut untuk keuntungan mereka sendiri, dan menggunakannya sebagai landasan untuk serangan berikutnya. NetSupport RAT biasanya diunduh ke komputer korban melalui situs web yang menipu dan pembaruan browser palsu.
Pada Agustus 2022, Sucuri merinci kampanye di mana situs WordPress yang disusupi digunakan untuk menampilkan halaman perlindungan DDoS Cloudflare palsu yang mengarah pada distribusi NetSupport RAT. Penggunaan pembaruan browser web palsu adalah taktik yang sering dikaitkan dengan penyebaran malware pengunduh berbasis JavaScript yang dikenal sebagai SocGholish (alias FakeUpdates), yang juga telah diamati menyebarkan malware pemuat dengan nama kode BLISTER.
Muatan Javascript selanjutnya memanggil PowerShell untuk menyambung ke server jarak jauh dan mengambil file arsip ZIP yang berisi NetSupport RAT yang, setelah instalasi, mengirimkan sinyal ke server perintah dan kontrol (C2). Menurut para peneliti “Setelah diinstal pada perangkat korban, NetSupport mampu memantau perilaku, mentransfer file, memanipulasi pengaturan komputer, dan berpindah ke perangkat lain dalam jaringan,”.
Link: The Hacker News
Leave a Reply
Want to join the discussion?Feel free to contribute!