NetSupport Manager 是一款遠程控制軟件，普通用戶可以使用，也經(jīng)常被攻擊者濫用。與基于命令行的后門或者遠控木馬不同，使用遠程控制工具不僅更加友好，而且容易規(guī)避檢測。

分析人員發(fā)現(xiàn)，攻擊者通過偽裝成精靈寶可夢游戲的釣魚頁面分發(fā) NetSupport Manager。由于其惡意目的，研究人員將其稱為 NetSupport RAT。NetSupport RAT 一直在被攻擊者利用，通過不同的垃圾郵件或者釣魚網(wǎng)站進行分發(fā)。

以下是釣魚網(wǎng)站的界面，當用戶點擊 Play on PC 按鈕時就會觸發(fā) NetSupport Manager 的下載，而不是精靈寶可夢游戲。

釣魚網(wǎng)站

下載的文件使用欺騙性的圖標與文件描述信息，使用戶誤認為是游戲程序點擊執(zhí)行。

文件描述

該惡意軟件是使用 InnoSetup 開發(fā)的安裝程序。執(zhí)行時，惡意軟件會在 %APPDATA% 路徑下創(chuàng)建一個文件夾，并且在執(zhí)行前創(chuàng)建隱蔽的 NetSupport RAT 相關(guān)文件。在啟動文件夾下也創(chuàng)建了快捷方式，以便在重新啟動后能維持運行。下圖進程樹中，最終執(zhí)行的 client32.exe 即為 NetSupport Manager 客戶端。

進程樹

盡管安裝的程序本身是良性程序，但攻擊者將 C&C 服務(wù)器的地址嵌入在配置文件 client32.ini 中。用戶執(zhí)行后，程序會根據(jù)配置文件建立與攻擊者的連接，從而使得攻擊者可以控制失陷主機。

程序文件與配置文件

根據(jù)全球遙測分析，研究人員又發(fā)現(xiàn)了一個不同的釣魚網(wǎng)站，但其格式與虛假的精靈寶可夢網(wǎng)站相同。2022 年 12 月以來，多個釣魚網(wǎng)站都在分發(fā)同類的 NetSupport RAT Dropper。盡管其文件各不相同，但在配置文件中都包含相同的 C&C 服務(wù)器地址。

通信流量

樣本中有圖標偽裝成 Visual Studio 的惡意樣本，研究人員判斷攻擊者通過偽裝成多個應(yīng)用程序進行分發(fā)。

偽裝成 Visual Studio 的樣本

還有偽裝成普通 Windows 程序 svchost.exe 的文件 csvs.exe，盡管圖標與文件大小不同，但實際上能確定這是被攻擊者修改過的、為了繞過檢測的 client32.exe 文件。

被篡改的文件

最近發(fā)現(xiàn)，NetSupport RAT 正在通過的偽裝成發(fā)-票、采購訂單等垃圾郵件進行分發(fā)。安裝完成后，攻擊者就獲得了對失陷主機的控制權(quán)。NetSupport 不僅支持遠程控制，還支持屏幕捕獲、剪貼板共享、文件管理和命令執(zhí)行等。

NetSupport 支持的功能

近期，攻擊者一直在濫用各種遠程控制工具。建議用戶安裝可靠的應(yīng)用程序，不要隨便相信可疑郵件的附件。