Gehackte websites zijn de afgelopen maanden gebruikt om zogenaamde software-updates te verspreiden die in werkelijkheid de NetSupport-tool installeren, waarmee aanvallers volledige controle over de computer van hun slachtoffer krijgen. Dat meldt securitybedrijf FireEye.

Zodra de gehackte websites worden bezocht verschijnt er een melding dat de gebruiker Adobe Flash Player, Google Chrome of Mozilla Firefox moet updaten. Het aangeboden JavaScript-bestand, dat bij Dropbox wordt gehost, downloadt de uiteindelijke lading. Het gaat om de NetSupport Manager remote access tool (RAT). NetSupport Manager is een legitiem commercieel pakket dat systeembeheerders gebruiken om op afstand systemen te beheren. De tool biedt een remote desktop, het starten van progamma's op de client, uitwisselen van bestanden en het tonen van de geolocatie.

Onderzoekers van FireEye wisten toegang tot de server te krijgen die de aanvallers gebruiken. Daar vonden ze ook een bestand met ip-adressen en user-agents. Mogelijk gaat het hier om ip-adressen van gecompromitteerde systemen. De meeste ip-adressen in het bestand waren afkomstig uit Nederland, Duitsland en de Verenigde Staten. "RATs worden vaak voor legitieme doeleinden gebruikt, meestal door systeembeheerders. Aangezien legitieme applicaties eenvoudig verkrijgbaar zijn, kunnen criminelen er gebruik van maken en soms verdenkingen door de gebruiker voorkomen", zegt onderzoeker Sudhanshu Dubey.