NetSupport Manager 是一款遠程控制軟件，普通用戶可以使用，也經常被攻擊者濫用。與基于命令行的后門或者遠控木馬不同，使用遠程控制工具不僅更加友好，而且容易規避檢測。

分析人員發現，攻擊者通過偽裝成精靈寶可夢游戲的釣魚頁面分發 NetSupport Manager。由于其惡意目的，研究人員將其稱為 NetSupport RAT。NetSupport RAT 一直在被攻擊者利用，通過不同的垃圾郵件或者釣魚網站進行分發。

以下是釣魚網站的界面，當用戶點擊 Play on PC 按鈕時就會觸發 NetSupport Manager 的下載，而不是精靈寶可夢游戲。

釣魚網站

下載的文件使用欺騙性的圖標與文件描述信息，使用戶誤認為是游戲程序點擊執行。

文件描述

該惡意軟件是使用 InnoSetup 開發的安裝程序。執行時，惡意軟件會在 %APPDATA% 路徑下創建一個文件夾，并且在執行前創建隱蔽的 NetSupport RAT 相關文件。在啟動文件夾下也創建了快捷方式，以便在重新啟動后能維持運行。下圖進程樹中，最終執行的 client32.exe 即為 NetSupport Manager 客戶端。

進程樹

盡管安裝的程序本身是良性程序，但攻擊者將 C&C 服務器的地址嵌入在配置文件 client32.ini 中。用戶執行后，程序會根據配置文件建立與攻擊者的連接，從而使得攻擊者可以控制失陷主機。

程序文件與配置文件

根據全球遙測分析，研究人員又發現了一個不同的釣魚網站，但其格式與虛假的精靈寶可夢網站相同。2022 年 12 月以來，多個釣魚網站都在分發同類的 NetSupport RAT Dropper。盡管其文件各不相同，但在配置文件中都包含相同的 C&C 服務器地址。

通信流量

樣本中有圖標偽裝成 Visual Studio 的惡意樣本，研究人員判斷攻擊者通過偽裝成多個應用程序進行分發。

偽裝成 Visual Studio 的樣本

還有偽裝成普通 Windows 程序 svchost.exe 的文件 csvs.exe，盡管圖標與文件大小不同，但實際上能確定這是被攻擊者修改過的、為了繞過檢測的 client32.exe 文件。

被篡改的文件

最近發現，NetSupport RAT 正在通過的偽裝成發-票、采購訂單等垃圾郵件進行分發。安裝完成后，攻擊者就獲得了對失陷主機的控制權。NetSupport 不僅支持遠程控制，還支持屏幕捕獲、剪貼板共享、文件管理和命令執行等。

NetSupport 支持的功能

近期，攻擊者一直在濫用各種遠程控制工具。建議用戶安裝可靠的應用程序，不要隨便相信可疑郵件的附件。