Антивирусы бессильны: NetSupport RAT атакует через оперативную память, обходя файловую защиту
NewsMakerШпион выживает после перезагрузки и продолжает сливать конфиденциальные данные.
Специалисты компании Securonix обнаружили многоуровневую вредоносную кампанию, направленную на скрытую установку инструмента удалённого доступа NetSupport RAT. Атака разворачивается через серию тщательно замаскированных этапов, каждый из которых рассчитан на максимальную скрытность и минимальное оставление следов на скомпрометированном устройстве.
Первоначальная загрузка вредоносного кода начинается с JavaScript -файла, внедрённого в взломанные веб-сайты. Этот скрипт имеет сложную структуру и скрытую логику, которая активируется только при выполнении определённых условий. Он способен различать тип устройства пользователя, а также фиксировать факт первого посещения страницы, что позволяет выполнять вредоносные действия всего один раз на каждом устройстве. Если условия совпадают, скрипт либо внедряет в страницу невидимый фрейм, либо подгружает следующий этап — HTML-приложение.
На втором этапе запускается файл HTA, представляющий собой скрытое приложение, исполняемое с помощью штатного инструмента Windows — mshta.exe. Оно извлекает зашифрованный скрипт PowerShell , расшифровывает его через многоступенчатую схему и исполняет непосредственно в памяти. Таким образом, вся вредоносная активность проходит без создания постоянных файлов, что значительно затрудняет её обнаружение антивирусными средствами.
Финальный этап связан с загрузкой и установкой самого NetSupport RAT. Для этого PowerShell-скрипт скачивает архив, распаковывает его в неприметную директорию и запускает исполняемый файл через JScript-обёртку. Для сохранения присутствия в системе создаётся ярлык в автозагрузке под видом компонента обновления Windows. Такой подход позволяет злоумышленникам сохранять доступ даже после перезагрузки устройства.
Специалисты компании Securonix обнаружили многоуровневую вредоносную кампанию, направленную на скрытую установку инструмента удалённого доступа NetSupport RAT. Атака разворачивается через серию тщательно замаскированных этапов, каждый из которых рассчитан на максимальную скрытность и минимальное оставление следов на скомпрометированном устройстве.
Первоначальная загрузка вредоносного кода начинается с JavaScript -файла, внедрённого в взломанные веб-сайты. Этот скрипт имеет сложную структуру и скрытую логику, которая активируется только при выполнении определённых условий. Он способен различать тип устройства пользователя, а также фиксировать факт первого посещения страницы, что позволяет выполнять вредоносные действия всего один раз на каждом устройстве. Если условия совпадают, скрипт либо внедряет в страницу невидимый фрейм, либо подгружает следующий этап — HTML-приложение.
На втором этапе запускается файл HTA, представляющий собой скрытое приложение, исполняемое с помощью штатного инструмента Windows — mshta.exe. Оно извлекает зашифрованный скрипт PowerShell , расшифровывает его через многоступенчатую схему и исполняет непосредственно в памяти. Таким образом, вся вредоносная активность проходит без создания постоянных файлов, что значительно затрудняет её обнаружение антивирусными средствами.
Финальный этап связан с загрузкой и установкой самого NetSupport RAT. Для этого PowerShell-скрипт скачивает архив, распаковывает его в неприметную директорию и запускает исполняемый файл через JScript-обёртку. Для сохранения присутствия в системе создаётся ярлык в автозагрузке под видом компонента обновления Windows. Такой подход позволяет злоумышленникам сохранять доступ даже после перезагрузки устройства.