In una recente campagna di malware soprannominata "Horns&Hooves", i criminali informatici stanno prendendo di mira utenti privati, rivenditori e aziende di servizi, principalmente in Russia. Questa campagna ha l'obiettivo di diffondere i trojan NetSupport RAT e BurnsRAT, utilizzando email false e allegati JavaScript camuffati come comunicazioni ufficiali. Lanciata intorno a marzo 2023, ha già colpito oltre 1.000 vittime, mirando a installare ulteriori malware di tipo stealer come Rhadamanthys e Meduza.

I cybercriminali dietro questa operazione sfruttano allegati in formato ZIP contenenti script JScript, che appaiono come richieste o offerte da parte di clienti o partner potenziali. Questi attacchi di phishing sono progettati per ingannare le vittime affinché aprano file infetti. In alcuni casi, gli archivi ZIP contengono anche documenti legittimi relativi all'organizzazione o persona impersonata, aumentando così le possibilità di riuscita dell'attacco.

Uno dei metodi utilizzati prevede il download di un file HTML Application (HTA) che, una volta eseguito, scarica un'immagine decoy da un server remoto e, nel contempo, esegue un altro script tramite il comando BITSAdmin. Questo script successivo scarica vari file, inclusi i malware NetSupport RAT, che stabiliscono una connessione con un server C2 (command-and-control) controllato dagli aggressori.

Un'evoluzione della campagna, osservata a metà maggio 2023, ha visto l'uso di JavaScript che imitano librerie legittime come Next.js per attivare l'infezione da NetSupport RAT. Un'altra variante individuata installa BurnsRAT tramite un installer NSIS. Sebbene il backdoor supporti l'esecuzione remota di comandi e file, il suo compito principale è avviare il Remote Manipulator System (RMS) come servizio e inviare l'ID della sessione RMS al server degli aggressori. RMS consente di interagire con sistemi remoti, gestire desktop, eseguire comandi e trasferire file tra dispositivi in diverse località geografiche.

Il gruppo responsabile sembra essere TA569, noto anche come Gold Prelude, Mustard Tempest e Purple Vallhund, famoso per il malware SocGholish. Questa connessione è suggerita da somiglianze nei file di configurazione e licenze del RAT NetSupport utilizzati nelle rispettive attività. TA569 è noto anche per fungere da broker d'accesso iniziale per attacchi ransomware come WastedLocker. L'accesso alle reti compromesse può portare a furto di dati o crittografia e danneggiamento dei sistemi, a seconda di chi sfrutta tale accesso.