Los sectores de educación, gobierno y servicios empresariales están siendo blanco de actores de amenazas que emplean un troyano de acceso remoto conocido como NetSupport RAT.
¿Qué es el Rat de NetSupport?
Netsupport Manager RAT es un troyano de acceso remoto el cual está siendo desplegado en campañas maliciosas para exfiltrar información asociada a la infraestructura tecnológica con el objetivo de inyectar otras familias de malware. Esta amenaza tiene la capacidad de recopilar información confidencial y financiera sensible. Los ciberdelincuentes pueden utilizar esta información para llevar a cabo actividades fraudulentas, como la suplantación de identidad, la realización de transacciones no autorizadas o el acceso ilícito a cuentas bancarias.
Los mecanismos de entrega del troyano de acceso remoto NetSupport RAT abarcan tácticas sofisticadas, como actualizaciones fraudulentas, descargas no autorizadas y la utilización de cargadores de malware como GHOSTPULSE. En adición, los actores de amenazas emplean diversas formas de campañas de phishing para propagar este malware.
Los expertos de VMware Carbon Black
La firma de ciberseguridad no solo alertó sobre la presencia de esta amenaza, sino que también informó haber detectado al menos 15 nuevas infecciones relacionadas con NetSupport RAT en las últimas semanas.
NetSupport Manager, inicialmente concebido como una herramienta legítima de administración remota para brindar asistencia y soporte técnico, ha sido indebidamente aprovechado por actores malintencionados. Estos individuos han convertido la herramienta en una suerte de cabeza de puente para llevar a cabo ataques posteriores de manera más efectiva.
NetSupport RAT tiende a infiltrarse en los sistemas de las víctimas a través de descargas realizadas desde sitios web engañosos y mediante actualizaciones falsas del navegador. Una campaña particularmente detallada por Sucuri en agosto de 2022 reveló el uso de sitios de WordPress comprometidos para mostrar páginas fraudulentas de protección DDoS de Cloudflare, lo que facilitó la distribución de NetSupport RAT.
La utilización de actualizaciones falsas del navegador web se asocia comúnmente con la implementación de un malware de descarga basado en JavaScript denominado SocGholish, también conocido como FakeUpdates. Este método ha sido observado propagando otro malware de carga, apodado BLISTER.
En la secuencia de ataques, la carga útil de JavaScript posteriormente invoca a PowerShell para establecer una conexión con un servidor remoto y recuperar un archivo ZIP que alberga el NetSupport RAT. Una vez instalado, este malware se dirige hacia un servidor de comando y control (C2).
“Los investigadores advierten que una vez que NetSupport se instala en el dispositivo de la víctima, tiene la capacidad de monitorear el comportamiento, transferir archivos, manipular la configuración de la computadora y desplazarse hacia otros dispositivos dentro de la red.”
¿Cómo podemos prevenir?
La prevención de virus RAT (Troyanos de Acceso Remoto) es esencial para garantizar la seguridad de tus dispositivos y datos. Aquí tienes algunos consejos y recomendaciones para prevenir infecciones de este tipo de malware:
- Mantén tu software actualizado:
- Asegúrate de tener instaladas las últimas actualizaciones de sistema operativo, antivirus y otras aplicaciones. Las actualizaciones a menudo incluyen parches de seguridad que pueden protegerte contra nuevas amenazas.
- Usa un software antivirus y antimalware:
- Instala un programa antivirus confiable y mantenlo actualizado. Realiza análisis periódicos de tu sistema para detectar posibles amenazas.
- Sé cauteloso con los correos electrónicos y mensajes sospechosos:
- No abras correos electrónicos o mensajes de remitentes desconocidos. Ten precaución al hacer clic en enlaces o descargar archivos adjuntos, especialmente si no esperabas recibir ese tipo de comunicación.
- Evita sitios web no seguros:
- No descargues software de sitios web no confiables. Utiliza fuentes oficiales y verifica la autenticidad de los sitios antes de descargar cualquier archivo.
- Configura firewalls y filtros de red:
- Configura firewalls personales y utiliza filtros de red para controlar el tráfico que entra y sale de tu red. Esto puede ayudar a prevenir que los RATs se comuniquen con sus servidores de control.
- Utiliza contraseñas fuertes:
- Usa contraseñas robustas y evita el uso de contraseñas comunes o fácilmente adivinables. Cambia tus contraseñas regularmente.
- Controla los privilegios de usuario:
- Limita los privilegios de usuario en tu sistema. Evita utilizar cuentas con privilegios de administrador para tareas cotidianas.
- Monitorea el tráfico de red:
- Utiliza herramientas de monitoreo de red para detectar patrones de tráfico inusuales que podrían indicar una infección.
- Realiza copias de seguridad periódicas:
- Haz copias de seguridad regulares de tus datos importantes. En caso de una infección, podrás recuperar tus archivos sin pagar rescates.
- Educa a los usuarios:
- Proporciona educación sobre seguridad cibernética a los usuarios finales. Fomenta la conciencia sobre las amenazas y la importancia de seguir prácticas seguras.
- Desactiva servicios y funciones innecesarios:
- Desactiva cualquier servicio o función en tus dispositivos que no necesites. Esto reduce la superficie de ataque y minimiza las oportunidades para la explotación.
fuente:thehackernews