Immaginate un software nato per aiutare gli IT admin a risolvere problemi da remoto, trasformato in un’arma per spiare e rubare dati: è NetSupport RAT, l’abuso malizioso di NetSupport Manager. Ne ha parlato recentemente anche Darktrace, che grazie al suo sistema di rilevamento delle anomalie è riuscita a intercettare e bloccare l’attacco: vediamo di cosa si tratta.
Cos’è NetSupport Manager? Un alleato IT o un pericolo?
Dal 1989, NetSupport Manager è un tool fidato per amministratori: accesso remoto al desktop, controllo mouse/tastiera, trasferimento file, su Windows, Mac, Linux. Ideale per helpdesk, con trial gratuite che lo rendono accessibile ovunque. Ma i cybercriminali lo adorano: binari legittimi evadono antivirus signature-based, ribattezzato RAT (Remote Access Trojan) per accesso persistente e stealth. È come un coltello da cucina usato per un furto: legittimo, ma letale se abusato.
Il Funzionamento sotto il cofano
Installato di nascosto, sfrutta client32.exe con config maliziose (client32.ini per C2 server, NSM.lic) in cartelle “invisibili” come AppData. Parla con i comandi via HTTP su porte strane, URI tipo /fakeurl.htm e user agent “NetSupport Manager/1.3” per mimetizzarsi. Quindi l’attaccante vede il vostro schermo, ruba file, si nasconde nel registry o task scheduler, scarica altri malware. Un vero “cavallo di Troia” moderno.
Come arriva: ClickFix e Social Engineering
Spesso inizia con ClickFix: siti fake che fingono CAPTCHA, update browser o fix errori, spingendo a lanciare PowerShell malevoli. Oppure phishing, malvertising, link avvelenati su Google. Questo uno schema di attacco da Darktrace
Nel novembre 2025, Darktrace ha rilevato picchi su clienti EMEA (Europa, Medio Oriente, Africa) e Americas, con un terzo negli USA e il resto in EMEA; settori come IT/Comunicazioni, Manifatturiero, Arte/Intrattenimento/Recreation e soprattutto Education (target del marketing NetSupport, sfruttato dagli hacker). A differenza delle campagne OSINT in Asia Centrale (IT, Governo, Finanza), questo mostra quanto sia globale e facile da usare.
| Trucco d’Ingresso | Come Funziona | Settori Più Colpiti |
| ClickFix | Finti CAPTCHA spingono PowerShell | Tech, Manifattura, Energia |
| Phishing/Malvertising | Email con ZIP infetti | IT, Education |
| SEO Poisoning | Link Google trappola | Governo, Finanza (Asia) |
Darktrace entra in azione: rileva l’invisibile
Darktrace non cerca “firme” note (che falliscono con nuovi C2), ma modella il “pattern of life” di ogni device: cosa fa di normale? Quando devia, suona l’allarme. Ha beccato device che chiamavano domini/IP rari multipli via HTTP su porte varie, anche senza vedere il PowerShell iniziale.
Esempio reale fine 2025: un device contatta thetavaluemetrics[.]com (74.91.125.57) con user agent nuovo “NetSupport Manager/1.3” – sembra ok, ma è C2 RAT! Subito dopo, invia HTTP POST a /fakeurl.htm, tipico dei Gateway NetSupport. L’AI di Darktrace distingue uso legittimo da abuso analizzando il comportamento nel contesto della rete.
| Allarme Darktrace | Cosa Scatta | Esempio Reale |
| Suspicious HTTP | POST a URI strani | /fakeurl.htm |
| New User Agent | “NetSupport Manager/1.3” inedito | Primo avvistamento |
| HTTP Beaconing | Chiamate periodiche C2 | IP 74.91.125.57 |
| Rare Endpoint | Domini esterni nuovi | thetavaluemetrics[.]com |
Blocco Automatico: L’AI che agisce da sola
Con Darktrace /RESPOND, l’AI non si limita ad avvisare: blocca C2, isola il device o rallenta il traffico, imparando per evitare falsi allarmi. Nel caso NetSupport, ha stoppato il 100% degli attacchi, riducendo tempi di risposta a minuti sul Threat Visualizer.
Difese pratiche: scruta user agent strani, limita PowerShell, verifica tool RMM, usa anomaly detection. In remoto ibrido, è la chiave contro “Living off the Land”.
Tool come Darktrace ci ricordano: la vera sicurezza è prevedere l’imprevedibile, non solo bloccare il noto.
Conclusioni: la legittimità non è una garanzia
Come visto non solo con NetSupport Manager ma con qualsiasi software legittimo o open-source usato da IT e security pro, la legittimità di un tool non lo protegge dall’abuso da parte di threat actor. Software open-source, specialmente con versioni free/trial come NetSupport, resta facilmente accessibile per compromissioni di rete.
In un’era di lavoro remoto diffuso, validare ogni uso anomalo di software e tool di gestione remota è essenziale per ridurre opportunità di accesso non autorizzato. L’approccio anomaly-based di Darktrace permette ai team di sicurezza di identificare abusi maliziosi di tool legittimi, anche senza signature o IoC chiari, prevenendo impatti maggiori sulla rete.
Informatics, ski racer, loves travels, Finland, Norway, mountains, squash, photography, Drones and RC Helicopter
RSS - Articoli
Commenti recenti