NetSupport RAT: preoccupante aumento nei settori business e governativo

Il trojan di accesso remoto noto come NetSupport sta preoccupando, e non poco, gli esperti di sicurezza.

Stando ai ricercatori di VMware, infatti, i casi relativi a questo malware stanno crescendo in modo esponenziale nell’ultimo periodo. A farne le spese, numeri alla mano, sembrano essere in prevalenza settori come l’istruzione e, soprattutto imprese ed enti governativi.

L’appena citata società di sicurezza, infatti, ha individuato almeno 15 nuove infezioni di questo tipo nell’arco delle ultime settimane. Gli esperti hanno poi descritto i meccanismi di distribuzione del trojan, tra cui figurano falsi aggiornamenti dei browser, loader di malware e le più classiche tecniche di phishing.

Il tutto parte da siti Web compromessi, come già intuito da Sucuri nel corso del 2022. Tale ricerca, aveva evidenziato come la campagna NetSupport sfruttava alcuni siti WordPress compromessi per diffondersi su più dispositivi possibili.

I casi di infezione legati a NetSupport sono in forte aumento: ecco come evitare guai

La strategia che prevede aggiornamenti falsi per browser Web è alquanto diffusa al giorno d’oggi, spesso associata all’implementazione di downloader basati su JavaScript come SocGholish.

L’attivazione del payload Javascript va a richiamare PowerShell per la connessione a un server remoto, con conseguente recupero di un archivio ZIP che contiene il RAT vero e proprio.

In questo contesto è molto importante, per evitare di cadere vittima di NetSupport, agire con una prevenzione adeguata. Oltre all’adozione di antivirus e strumenti protettivi simili, è bene porre grande attenzione a presunti aggiornamenti proposti dal browser.

In caso di dubbio, è bene evitare qualunque tipo di pop-up e visitare il sito ufficiale dello stesso oppure utilizzare il browser stesso per richiamare in prima persona il potenziale aggiornamento. Mantenere sempre il sangue freddo ed evitare clic impulsivi può essere molto utile per evitare veri e propri disastri.