【安全资讯】攻击者使用虚假浏览器更新分发NetSupport RAT

猎影实验室 2022-09-22 14:46:26 257人浏览

SocGholish是自 2017 年以来一直活跃的 JavaScript 恶意软件框架。感染 SocGholish 可能会导致部署恶意软件,例如 Cobalt Strike 框架、勒索软件、信息窃取程序、远程访问木马等。研究人员发现了一个伪造的Chrome浏览器更新页面,下载的 zip 存档文件包含一个名为“AutoUpdater.js”的高度混淆的 JavaScript 文件,在执行 JavaScript 文件后,它会进一步启动 PowerShell 命令以从远程服务器下载并执行额外的 PowerShell 脚本,新的 PowerShell 脚本包含 Base64 编码的流,解压缩的 Base64 解码数据包含嵌入的有效负载和代码,用于释放名为“whost.exe”的“NetSupport RAT”应用程序。攻击者可以利用NetSupport执行多种恶意活动,如监控受害者的系统、传输文件、启动应用程序、识别系统位置、远程检索库存和系统信息等。SocGholish框架感染链如下图:

失陷指标(IOC)19
NetSupport SocGholish
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。