لسنوات، كانت الجهات الفاعلة في مجال التهديد تستخدم برامج مشروعة لأغراض غير مشروعة أو ضارة. أحد هذه البرامج هو NetSupport Manager – وهو تطبيق للتحكم عن بعد يستخدم لإدارة الأنظمة عن بعد. ومع ذلك، في السنوات الأخيرة، أعادت الجهات الفاعلة في مجال التهديد استخدام هذا البرنامج باعتباره حصان طروادة للوصول عن بعد (RAT) لاختراق الأنظمة واستخدامها كنقطة انطلاق لهجمات لاحقة.

لاحظ فريق الكشف والاستجابة المُدارة لشركة Carbon Black، بالتعاون مع وحدة تحليل التهديدات، أكثر من 15 إصابة جديدة تتعلق بـ NetSupport RAT في الأسابيع القليلة الماضية. ومن الزيادة لوحظ أن غالبية الإصابات كانت من قطاعات التعليم والحكومة وخدمات الأعمال. في هذه المقالة، سنتعمق في أساليبنا لاكتشاف هذه البرامج الضارة ومنعها، إلى جانب توفير رؤى وموارد قيمة للمدافعين.

في الهجمات الأخيرة، لوحظ أنه تم تنزيل NetSupport RAT على كمبيوتر الضحية عبر مواقع ويب خادعة وتحديثات متصفح زائفة. ومع ذلك، يمكن أن تختلف الإصابة الأولية اعتمادًا على جهة التهديد.

تعرض العدوى الضحية التي يتم خداعها لتنزيل تحديث متصفح مزيف بعد زيارة موقع ويب مخترق. تستضيف مواقع الويب المصابة هذه برنامجًا نصيًا PHP يعرض تحديثًا يبدو حقيقيًا. عندما ينقر الضحية على رابط التنزيل، يتم تنزيل حمولة Javascript إضافية على نقطة النهاية.

توصي VMware بالابتعاد عن الملفات المشبوهة والروابط غير الموثوقة، وتحديث البرامج والأنظمة الخاصة بك بانتظام، بالإضافة إلى اعتماد تقنيات الحماية الأمنية المتقدمة للوقاية من هذا البرنامج الضار والهجمات المشابهة.