Η Microsoft προειδοποιεί για μια phishing εκστρατεία με θέμα τον COVID-19, που βρίσκεται αυτή τη στιγμή σε εξέλιξη και εγκαθιστά το εργαλείο απομακρυσμένης διαχείρισης NetSupport Manager.
Η ομάδα Microsoft Security Intelligence περιγράφει πώς αυτή η “μαζική εκστρατεία” εξαπλώνει το εργαλείο μέσω κακόβουλων συνημμένων Excel εγγράφων.
Η επίθεση ξεκινά με phishing emails που λένε ότι προέρχονται από το Johns Hopkins Center, το οποίο στέλνει μια ενημέρωση σχετικά με τον αριθμό των θανάτων στις Ηνωμένες Πολιτείες, που σχετίζονται με τον COVID-19.
Σε αυτό το phishing email υπάρχει ένα αρχείο Excel με τίτλο «covid_usa_nyt_8072.xls», το οποίο όταν ανοίγει, εμφανίζει ένα γράφημα που δείχνει τον αριθμό των θανάτων στις ΗΠΑ, βάσει δεδομένων από τους New York Times.
Το έγγραφο περιέχει κακόβουλες μακροεντολές και ζητά από τον χρήστη να κάνει «Enable Content». Αν ο χρήστης κάνει κλικ, θα εκτελεστούν κακόβουλες μακροεντολές για τη λήψη και εγκατάσταση του NetSupport Manager client από ένα απομακρυσμένο site.
“Τα εκατοντάδες μοναδικά αρχεία Excel σε αυτήν τη phishing καμπάνια χρησιμοποιούν εξαιρετικά obfuscated formulas, αλλά όλα οδηγούν στην ίδια διεύθυνση URL και κατεβάζουν το payload. Το NetSupport Manager χρησιμοποιείται συχνά από hackers για την απόκτηση απομακρυσμένης πρόσβασης και την εκτέλεση εντολών σε παραβιασμένους υπολογιστές“, είπε η Microsoft σε ένα tweet.
Το NetSupport Manager είναι ένα νόμιμο εργαλείο απομακρυσμένης διαχείρισης. Ωστόσο, οι hackers το χρησιμοποιούν ως remote access trojan.
Όταν εγκατασταθεί, επιτρέπει σε έναν hacker να αποκτήσει τον πλήρη έλεγχο του μολυσμένου μηχανήματος και να εκτελέσει εντολές απομακρυσμένα.
Σε αυτήν τη συγκεκριμένη επίθεση, το NetSupport Manager client θα αποθηκευτεί ως dwm.exe αρχείο κάτω από ένα τυχαίο %AppData% folder και θα ξεκινήσει.
Καθώς το εργαλείο απομακρυσμένης διαχείρισης εμφανίζεται ως νόμιμο, ενδέχεται να μην παρατηρηθεί κάτι ασυνήθιστο από τους χρήστες.
Μετά από κάποιο χρονικό διάστημα, το NetSupport Manager RAT θα χρησιμοποιηθεί για περαιτέρω παραβίαση του υπολογιστή του θύματος, εγκαθιστώντας άλλα εργαλεία και scripts.
Όποιος έχει επηρεαστεί από αυτήν την phishing εκστρατεία θα πρέπει να αντιδράσει, όπως αντιδρούν στις παραβιάσεις δεδομένων και στις κλοπές passwords.
Είναι, επίσης, πιθανό ότι οι επιτιθέμενοι χρησιμοποιούν το μολυσμένο μηχάνημα για να εξαπλωθούν σε όλο το δίκτυο.
Μετά τον «καθαρισμό» της μολυσμένης συσκευής, οι κωδικοί πρόσβασης θα πρέπει να αλλάξουν και οι υπόλοιποι υπολογιστές στο δίκτυο θα πρέπει να διερευνηθούν για πιθανές μολύνσεις.