Unidentified RAT pushes NetSupport RAT, (Mon, Jun 1st)

Strategische Zusammenfassung

Ein noch nicht identifizierter Remote Access Trojan (RAT) wurde über die SmartApeSG ClickFix-Kampagne verbreitet. Nach der initialen Infektion lädt die Malware ein bösartiges NetSupport RAT-Paket herunter und installiert es persistent. Der C2-Verkehr der ersten RAT erfolgt kodiert über TCP-Port 443 zu 89.110.110.119. Die Kampagne verwendet täglich wechselnde Indikatoren, was die Erkennung und Abwehr erschwert.

Key Findings

• Die Infektion beginnt mit einer gefälschten Verifikationsseite, die Nutzer zur Ausführung eines ClickFix-Skripts verleitet.
• Das initiale RAT kommuniziert mit einem C2-Server unter 89.110.110.119 über TCP-Port 443 mittels kodiertem, nicht TLS-verschlüsseltem Datenverkehr.
• Nach der Erstinfektion wird ein NetSupport RAT-Paket (setup.cab) heruntergeladen und über die Skripte processor.vbs und token.bat persistent installiert, die sich anschließend selbst löschen.
• Sämtliche Indikatoren wie Domains, URLs und Datei-Hashes ändern sich täglich, was eine kontinuierliche Überwachung erfordert.
• Die Kampagne steht in Verbindung mit der SmartApeSG-ClickFix-Kampagne und nutzt ähnliche Taktiken und Infrastrukturen.