Антивирусы бессильны: NetSupport RAT атакует через оперативную память, обходя файловую защиту

leer en español

Securonix NetSupport RAT JavaScript PowerShell mshta.exe вредоносная кампания удаленный доступ
Антивирусы бессильны: NetSupport RAT атакует через оперативную память, обходя файловую защиту
Securonix NetSupport RAT JavaScript PowerShell mshta.exe вредоносная кампания удаленный доступ

Шпион выживает после перезагрузки и продолжает сливать конфиденциальные данные.

image

Специалисты компании Securonix обнаружили многоуровневую вредоносную кампанию, направленную на скрытую установку инструмента удалённого доступа NetSupport RAT. Атака разворачивается через серию тщательно замаскированных этапов, каждый из которых рассчитан на максимальную скрытность и минимальное оставление следов на скомпрометированном устройстве.

Первоначальная загрузка вредоносного кода начинается с JavaScript-файла, внедрённого в взломанные веб-сайты. Этот скрипт имеет сложную структуру и скрытую логику, которая активируется только при выполнении определённых условий. Он способен различать тип устройства пользователя, а также фиксировать факт первого посещения страницы, что позволяет выполнять вредоносные действия всего один раз на каждом устройстве. Если условия совпадают, скрипт либо внедряет в страницу невидимый фрейм, либо подгружает следующий этап — HTML-приложение.

На втором этапе запускается файл HTA, представляющий собой скрытое приложение, исполняемое с помощью штатного инструмента Windows — mshta.exe. Оно извлекает зашифрованный скрипт PowerShell, расшифровывает его через многоступенчатую схему и исполняет непосредственно в памяти. Таким образом, вся вредоносная активность проходит без создания постоянных файлов, что значительно затрудняет её обнаружение антивирусными средствами.

Финальный этап связан с загрузкой и установкой самого NetSupport RAT. Для этого PowerShell-скрипт скачивает архив, распаковывает его в неприметную директорию и запускает исполняемый файл через JScript-обёртку. Для сохранения присутствия в системе создаётся ярлык в автозагрузке под видом компонента обновления Windows. Такой подход позволяет злоумышленникам сохранять доступ даже после перезагрузки устройства.

NetSupport RAT — изначально легитимное средство удалённого администрирования, которое злоумышленники активно используют для шпионажа, кражи данных и удалённого управления. В ходе данной кампании он получает возможность полноценно контролировать заражённую систему, включая перехват ввода с клавиатуры, управление файлами, выполнение команд и использование прокси-функций для перемещения внутри сети.

По оценке специалистов, вредоносная инфраструктура постоянно поддерживается и обновляется, а её архитектура указывает на высокую квалификацию разработчиков. Атака ориентирована на пользователей корпоративных систем и распространяется через подставные сайты и скрытые перенаправления. Несмотря на высокий уровень сложности, пока не удалось установить точную принадлежность операторов к какому-либо известному киберпреступному сообществу.

Обнаруженная кампания подчёркивает важность блокировки исполнения неподписанных скриптов, усиления контроля за поведением системных процессов, мониторинга каталогов автозагрузки и анализа подозрительной сетевой активности. Особое внимание рекомендуется уделить ограничениям использования mshta.exe и отслеживанию попыток загрузки файлов в папки %TEMP% и ProgramData.