一个商用RAT,NetSupport Manager被管理员用来远程访问客户端计算机。然而,合法应用程序也可能被恶意行为者滥用,恶意行为者在没有所有者知识的情况下将其安装到受害者计算机上,以便未经授权访问他们的机器。
为了分发,参与者滥用受损网站并将RAT伪装成流行应用程序(包括Adobe Flash,Chrome和FireFox)的假更新。如果用户接受更新,则会下载恶意JavaScript文件,主要来自Dropbox链接。
该文件收集基本的系统信息并将其发送到服务器,从服务器接收额外的命令,然后执行JavaScript以提供最终的有效负载。命名为Update.js,FireEye表示,在wscript.exe的帮助下,提供有效载荷的JavaScript从%AppData%执行。
恶意软件作者对最初的JavaScript应用了多层模糊处理,并试图对第二个JavaScript文件进行更难分析。通过使用调用者函数和被调用者函数代码来获取解密密钥,攻击者可以确保一旦分析人员添加或删除任何内容,脚本将不会检索密钥,并会以异常终止。
初始执行后,JavaScript启动与命令和控制(C&C)服务器的连接,并以编码格式发送名为tid的值和系统的当前日期。然后脚本解码服务器响应并将其作为名为step2的函数执行。
该功能收集各种系统信息并对其进行编码并发送给服务器:体系结构,计算机名称,用户名,处理器,操作系统,域,制造商,型号,BIOS版本,反间谍软件产品,防病毒产品,MAC地址,键盘,指点设备,显示控制器配置和进程列表。
然后服务器用编码内容进行响应:一个名为step3和Update.js的函数,它下载并执行最终的有效负载。
该代码利用PowerShell命令从服务器下载多个文件,其中包括7zip独立可执行文件,包含RAT的受密码保护的归档文件以及用于在系统上安装NetSupport客户端的批处理脚本。
批处理脚本还设计用于禁用Windows错误报告和应用程序兼容性,将远程控制客户端可执行文件添加到防火墙的允许程序列表中,添加运行注册表项或将快捷方式文件下载到启动文件夹以实现持久性,隐藏文件,删除工件,并执行RAT。在分析过程中,研究人员发现该脚本定期由恶意软件更新。
在NetSupport Manager的帮助下,攻击者可以远程访问受损系统,传输文件,启动应用程序,获取系统位置以及远程检索库存和系统信息。
最终的JavaScript还下载了一个包含IP地址列表的txt文件,研究人员称这些文件可能会被入侵系统。这些IP主要属于美国,德国和荷兰,但也适用于其他地区。