Bilgisayar korsanları NetSupport Manager RAT ile sahte yazılım güncellemeleri sunun.

Computer Security News

FireEye güvenlik uzmanları hacker sahte NetSupport Manager RAT teslim etmek için kullanılan popüler yazılım güncellemelerini dağıtmak için güvenliği aşılan Web siteleri yararlanarak bulduk.

NetSupport sistem yöneticileri bilgisayarların uzaktan yönetimi için kullanabilirsiniz kapalı bir faredir. Son zamanlarda, malware üstünde kullanıcı PCs.

dağıtmak için bu yasal uygulama güvenlik uzmanları FireEye, son birkaç aydır aktif olan ve yararlanarak kesmek bir kampanya kayıtlı olması kötüye kullanılan siber suçlular tehlikeye popüler yazılım (örneğin Adobe Flash, Chrome ve FireFox) de NetSupport Yöneticisi uzaktan erişim aracı (RAT) teslim etmek için kullanılan sahte güncelleştirmeleri yaymak için Web siteleri.

En kısa zamanda kullanıcıların güncelleştirmeleri idam, kötü amaçlı bir JavaScript dosyası, genellikle bir Dropbox downloaded–dan bağlantı.

“Son birkaç ay içinde FireEye teknolojisinden yararlanarak siteleri sahte güncellemeleri yaymak için tehlikeye–wild kampanyasının izledi. Bazı durumlarda, yükü NetSupport Yöneticisi uzaktan erişim aracı (RAT) oldu.” FireEye analiz Birleşik.

“Bu kampanyalar kullanımları arkasında operatör sahte güncelleştirmeleri Adobe Flash, Chrome ve FireFox güncelleştirmeler olarak davrandığından yaymak için siteleri ele geçirildi.”

JavaScript dosyasını hedef bilgisayarda bilgi toplar ve sunucuya gönderir. Buna karşılık, sunucu ek komutları gönderir ve son yükü teslim etmek için bir JavaScript yürütür. Son yükü sağlayan JavaScript Update.js denir ve wscript.exe yardımıyla %AppData% yürütülür.

“Kötü amaçlı yazılım analist ekler veya ilk veya ikinci katman komut dosyasından bir şey kaldırır anahtarı türetmek için çağıran ve çağrılan işlev kodu kullandığından komut dosyası anahtarı almak mümkün olmayacaktır ve bir özel durum ile sona erecektir.” analiz okur.

Yürütülmekte, JavaScript komut ve denetim (C & C) sunucu ve ‘tid’ ve geçerli tarihi adlı bir değer gönderir rehber kodlanmış bir biçim içinde belgili tanımlık sistem. O zaman sunucu yanıt sağlar komut dosyası daha sonra kodunu çözer ve bir işlev olarak çalıştıran denilen adım 2.

Adım 2 işlevi toplar ve çeşitli sistem bilgileri kodlar ve bundan sonra sunucuya gönderir: bilgisayar adı, kullanıcı adı, mimari, işlemci, işletim sistemi, etki alanı, BIOS sürümü, üretici, model, anti-spyware ürün, Anti-virüs ürün, MAC adresi, klavye, işaretleme aygıtı, ekran denetleyicisi yapılandırma ve işlem listesi.

Sonra sunucu adım 3 ve script indirme ve son yükü çalıştıran Update.js adında bir işlevi ile yanıt verir.

Javascript sunucu dahil olmak üzere, birden fazla dosya indirmek için PowerShell komutları kullanır:

  • 7za.exe: 7zip tek başına çalıştırılabilir
  • LogList.rtf: Parola korumalı Arşiv dosyası
  • UPD.cmd: NetSupport istemci yüklemek için toplu iş komut dosyası
  • Downloads.txt: IPs (muhtemelen bulaşmış sistemleri) listesi
  • Get.php: LogList.rtf ndirme

Komut dosyası tarafından gerçekleştirilen görevler şunlardır:

1. Hulâsa belgili tanımlık arşiv içinde düzenlemeler belirtilen parolayla yürütülebilir 7zip kullanarak
2. downloaded arşiv eğe (loglist.rtf) çıkarma sonra silmek.
3. devre dışı bırakmak Windows hata raporlama ve uygulama uyumluluğu.
4. güvenlik duvarı uzaktan kumanda istemci çalıştırılabilir program listesi izin verilen’ın ekleyin.
5. uzaktan kumanda aracı (client32.exe).
6. adı “ManifestStore” ya da karşıdan kısayolu başlangıç klasörüne ile kayıt defteri girdisini ekleyin çalıştırın.
7. özniteliklerini kullanarak dosyaları gizlemek.
8. (7zip yürütülebilir dosya, komut dosyası, arşiv dosyası) tüm yapıları sil.

Hackerlar NetSupport Yöneticisi uzaktan erişim güvenliği aşılan sistemler için ve bunu denetlemek için kullanın.

Son JavaScript güvenliği aşılan sistemler, ABD, Almanya ve Hollanda içinde en-in onları-ebil var olmak IP adreslerinin listesini indirilen.


Leave a Reply

Your email address will not be published. Required fields are marked *