Центр интернет-штормов Технологического института SANS сообщил о новой кампании NetSupport, которая поставляет вредоносный клиент NetSupport через пакеты MSIX. Злоумышленники используют эту технику для связи с зараженными компьютерами без необходимости создания собственной инфраструктуры командования и управления (C2).
Вредоносный MSIX-файл содержит все компоненты для загрузки и установки клиента NetSupport, включая портативную версию 7zip, используемую для распаковки клиента. Скрипт в файле сначала открывает браузер для отображения страницы загрузки Chrome, затем проверяет принадлежность компьютера к домену Microsoft перед установкой клиента. Клиент NetSupport имеет двойное сжатие, а в файле конфигурации раскрывается IP-адрес сервера C2, который в данный момент не работает. Эта кампания представляет собой недорогой способ для злоумышленников скомпрометировать больше жертв.
Indicators of Compromise
IPv4
- 38.135.52.140
SHA256
- e77bd0bf2c2f5f0094126f34de49ea5d4304a094121307603916ae3c50dfcfe4
