NetSupport RAT 正利用精灵宝可梦游戏作为诱饵传播

NetSupport Manager 是利用一款远程控制软件，普通用户可以使用，精灵也经常被攻击者滥用。宝可播与基于命令行的梦游后门或者远控木马不同，使用远程控制工具不仅更加友好
，戏作而且容易规避检测
。为诱

分析人员发现，饵传攻击者通过伪装成精灵宝可梦游戏的利用钓鱼页面分发 NetSupport Manager 。由于其恶意目的精灵，研究人员将其称为 NetSupport RAT。宝可播NetSupport RAT 一直在被攻击者利用 ，梦游通过不同的源码库戏作垃圾邮件或者钓鱼网站进行分发。

以下是为诱钓鱼网站的界面 ，当用户点击 Play on 饵传PC 按钮时就会触发 NetSupport Manager 的下载 ，而不是利用精灵宝可梦游戏。

钓鱼网站

下载的文件使用欺骗性的图标与文件描述信息
，使用户误认为是游戏程序点击执行 。

文件描述

该恶意软件是使用 InnoSetup 开发的服务器租用安装程序。执行时，恶意软件会在 %APPDATA% 路径下创建一个文件夹 ，并且在执行前创建隐蔽的 NetSupport RAT 相关文件。在启动文件夹下也创建了快捷方式，以便在重新启动后能维持运行
。下图进程树中，最终执行的 client32.exe 即为 NetSupport Manager 客户端。

进程树

尽管安装的程序本身是良性程序，但攻击者将 C&C 服务器的地址嵌入在配置文件 client32.ini 中
。模板下载用户执行后 ，程序会根据配置文件建立与攻击者的连接  ，从而使得攻击者可以控制失陷主机 。

程序文件与配置文件

根据全球遥测分析 ，研究人员又发现了一个不同的钓鱼网站 ，但其格式与虚假的精灵宝可梦网站相同 。2022 年 12 月以来 ，多个钓鱼网站都在分发同类的 NetSupport RAT Dropper 。尽管其文件各不相同，但在配置文件中都包含相同的 C&C 服务器地址 。云计算

通信流量

样本中有图标伪装成 Visual Studio 的恶意样本
，研究人员判断攻击者通过伪装成多个应用程序进行分发。

伪装成 Visual Studio 的样本

还有伪装成普通 Windows 程序 svchost.exe 的文件 csvs.exe ，尽管图标与文件大小不同，但实际上能确定这是被攻击者修改过的、为了绕过检测的 client32.exe 文件。

被篡改的文件

最近发现，NetSupport RAT 正在通过的源码下载伪装成发-票、采购订单等垃圾邮件进行分发。安装完成后 
，攻击者就获得了对失陷主机的控制权 。NetSupport 不仅支持远程控制 ，还支持屏幕捕获、剪贴板共享、文件管理和命令执行等。

NetSupport 支持的功能

近期  ，攻击者一直在滥用各种远程控制工具 。建议用户安装可靠的应用程序，不要随便相信可疑邮件的高防服务器附件。

最新评论