【安全资讯】攻击者使用虚假浏览器更新分发NetSupport RAT

SocGholish是自 2017 年以来一直活跃的 JavaScript 恶意软件框架。感染 SocGholish 可能会导致部署恶意软件，例如 Cobalt Strike 框架、勒索软件、信息窃取程序、远程访问木马等。研究人员发现了一个伪造的Chrome浏览器更新页面，下载的 zip 存档文件包含一个名为“AutoUpdater.js”的高度混淆的 JavaScript 文件，在执行 JavaScript 文件后，它会进一步启动 PowerShell 命令以从远程服务器下载并执行额外的 PowerShell 脚本，新的 PowerShell 脚本包含 Base64 编码的流，解压缩的 Base64 解码数据包含嵌入的有效负载和代码，用于释放名为“whost.exe”的“NetSupport RAT”应用程序。攻击者可以利用NetSupport执行多种恶意活动，如监控受害者的系统、传输文件、启动应用程序、识别系统位置、远程检索库存和系统信息等。SocGholish框架感染链如下图：