Mcafee發佈了一篇黑客如何利用NetSupport遠端控制工具攻擊用戶
NetSupport是一款遠端控制工具,可以讓管理者遠端監控和操作用戶的電腦。然而,這款工具也被黑客用來作為惡意軟件,竊取用戶的敏感資料和控制用戶的系統。McAfee Labs最近發現了一種新的NetSupport惡意軟件變體,它通過JavaScript文件來傳播,顯示出黑客的進化戰術。
這種惡意軟件的感染鏈如下:
- 首先,黑客通過電子郵件或其他方式,將混淆過的JavaScript文件發送給用戶,作為惡意軟件的入口點。
- 當用戶執行JavaScript文件時,它會調用Windows Script Host (wscript.exe)。接著,wscript.exe進程會啟動PowerShell,並使用特定的命令來推進感染。
- 在黑客的控制下,PowerShell會從遠端伺服器下載NetSupport的有效負載,也就是具有惡意意圖的遠端管理工具。
- 下載完成後,惡意軟件會執行‘client32.exe’二進制文件,這是NetSupport的客戶端,負責建立對受感染系統的控制。
- 為了維持持久性,‘client32.exe’二進制文件會被放置在用戶的AppData下的‘MsEdgeSandbox’文件夾中,並通過Windows註冊表註冊為自動啟動項。
McAfee Labs對這種惡意軟件的變體進行了深入的技術分析,揭示了它的混淆技術、下載方法、執行流程和指標。
詳情請看:
Beneath the Surface: How Hackers Turn NetSupport Against Users