I software di controllo desktop da remoto, conosciuti anche come Remote Administration Tools, sono molti utili per chi vuole accedere a un dato computer da remoto, per esempio per aiutare qualcuno a portare a termine certe procedure informatiche o per controllare le risorse su un PC remoto. Questi software pongono il focus sulla facilità d’uso, ma al tempo stesso sono strumenti molto efficaci per aggirare i controlli di sicurezza e per questo possono essere sfruttati dagli hacker per l’installazione di malware aggiuntivo o per l’estorsione di informazioni.
Infatti, questi software, a differenza delle normali backdoor e dei RAT (Remote Access Trojans), che si basano su righe di comando più facilmente individuabili dai software di sicurezza, vengono riconosciuti come normali programmi. Nello specifico, un caso rilevato dai ricercatori di ASEC ha fatto molto discutere negli ambienti legati alla sicurezza informatica.
In pratica, un sito fasullo che pubblicizzava un presunto gioco di carte collezionabili di Pokemon basato su NFT ha distribuito il tool NetSupport RAT (dove RAT sta per Remote Administration Tool o Remote Access Trojan?) con cui i cybercriminali hanno tentato di prendere il controllo dei computer infetti. Quando l’utente cliccava su “Play on PC” la versione modificata di NetSupport veniva installata sul PC.
Secondo quanto si legge su ASEC, il malware è stato sviluppato con InnoSetup e, quando viene eseguito, crea una cartella nel percorso %APPDATA% con file nascosti correlati a NetSupport RAT. I file sono impostati con attributo nascosto proprio per eludere il rilevamento da parte delle vittime che eseguono ispezioni manuali sul file system. Inoltre, viene creato anche un collegamento a “client32.exe” fra i processi in Esecuzione automatica in modo che il software venga eseguito a ogni riavvio. In questo modo, NetSupport RAT stabilisce sempre una connessione a un server remoto, mentre l’ultimo software eseguito sul sistema risulta essere NetSupport Manager.
Fondamentalmente, quando NetSupport viene eseguito, legge il file di configurazione “client32.ini” incluso nella cartella a cui abbiamo prima fatto riferimento, accede e stabilisce una connessione al server NetSupport dell’autore della minaccia, quindi consente all’operatore di controllare il sistema infetto.
I primi segni di attività riconducibile a NetSupport Manager sono apparsi nel dicembre 2022, con gli attaccanti che hanno puntato proprio sul fatto che si tratta di un software legittimo, che non può essere automaticamente individuato dal software di sicurezza. NetSupport Manager consente il controllo remoto dello schermo e la sua registrazione, così come il monitoraggio del sistema, mettendo al contempo a disposizione molte altre opzioni di connessione.
Le conseguenze di una tale infezione sono ampie e gravi, principalmente per quanto riguarda l’accesso non autorizzato a dati sensibili degli utenti e il download di ulteriori malware.