Μια νέα phishing καμπάνια στοχεύει οργανισμούς των ΗΠΑ με σκοπό τη μόλυνσή τους με το NetSupport RAT.
Η ισραηλινή εταιρεία κυβερνοασφάλειας Perception Point παρακολουθεί την εκστρατεία με την κωδική ονομασία Operation PhantomBlu.
“Η επιχείρηση PhantomBlu εισάγει μια διαφοροποιημένη μέθοδο εκμετάλλευσης, η οποία αποκλίνει από τον τυπικό μηχανισμό παράδοσης του NetSupport RAT, αξιοποιώντας τη χειραγώγηση OLE (Object Linking and Embedding) template, εκμεταλλευόμενη Microsoft Office document templates για την εκτέλεση κακόβουλου κώδικα“, δήλωσε ο ερευνητής ασφαλείας Ariel Davidpur.
Το NetSupport RAT είναι ένα κακόβουλο παρακλάδι του νόμιμου remote desktop εργαλείου NetSupport Manager. Το RAT επιτρέπει στους επιτιθέμενους να κάνουν διάφορα πράγματα, όπως να κλέψουν δεδομένα.
 στοχεύει οργανισμούς των ΗΠΑ με σκοπό τη μόλυνσή τους με το NetSupport RAT.){kind=link}
Δείτε επίσης: Το PixPirate banking trojan στοχεύει χρήστες στη Βραζιλία
Η επίθεση ξεκινά με ένα phishing email με θέμα τον μισθό του υπαλλήλου. Το email υποτίθεται ότι προέρχεται από το λογιστήριο της εταιρείας και προτρέπει τους παραλήπτες να ανοίξουν το συνημμένο έγγραφο Microsoft Word για να δουν τη “μηνιαία αναφορά μισθού”.
Μια πιο προσεκτική ανάλυση των κεφαλίδων του email – ιδιαίτερα των πεδίων Return-Path και Message-ID – δείχνει ότι οι εισβολείς, πίσω από το NetSupport RAT, χρησιμοποιούν μια νόμιμη πλατφόρμα μάρκετινγκ email που ονομάζεται Brevo (πρώην Sendinblue).
Κατά το άνοιγμα, το έγγραφο Word δίνει εντολή στο θύμα να εισαγάγει έναν κωδικό πρόσβασης που παρέχεται στο σώμα του email. Επίσης, του ζητείται να ενεργοποιήσει την επεξεργασία και να κάνει διπλό κλικ σε ένα εικονίδιο εκτυπωτή που είναι ενσωματωμένο στο έγγραφο.
Δείτε επίσης: WogRAT malware: Στόχευση Windows και Linux και κατάχρηση aNotepad
Αν ο χρήστης ακολουθήσει αυτά τα βήματα, θα ανοίξει ένα ZIP archive file (“Chart20072007.zip”) που περιέχει ένα αρχείο συντόμευσης των Windows, το οποίο λειτουργεί ως PowerShell dropper για την ανάκτηση και εκτέλεση του NetSupport RAT από έναν απομακρυσμένο διακομιστή.
“Χρησιμοποιώντας κρυπτογραφημένα .docs για την παράδοση του NetSupport RAT μέσω OLE template και template injection, η επιχείρηση PhantomBlu σηματοδοτεί μια απομάκρυνση από τα συμβατικά TTP που συνδέονται με τις αναπτύξεις NetSupport RAT“, είπε ο Davidpur, προσθέτοντας ότι η νέα τεχνική “επιδεικνύει την καινοτομία της PhantomBlu που εμπλέκει εξελιγμένες τεχνικές αποφυγής εντοπισμού με social engineering“.
Προστασία από NetSupport RAT Malware
Για να αποφύγουν τέτοιες επιθέσεις, οι οργανισμοί μπορούν να ενισχύσουν την ασφάλεια των δικτύων τους με τη χρήση προηγμένων λύσεων ασφαλείας που παρέχουν προστασία από κακόβουλο λογισμικό και επιθέσεις phishing.
Δείτε επίσης: Bifrost RAT: Νέα Linux έκδοση μιμείται το domain της VMware
Είναι σημαντικό να εκπαιδεύσουν το προσωπικό τους στην αναγνώριση και αποφυγή των επιθέσεων phishing, διδάσκοντάς τους πώς να αναγνωρίζουν ύποπτα emails και συνδέσμους.
Επιπλέον, μπορούν να χρησιμοποιήσουν λογισμικό που παρέχει προστασία από την εκτέλεση κακόβουλων διεργασιών και την εγκατάσταση trojans, όπως το NetSupport RAT.
Τέλος, η χρήση πολιτικών περιορισμού της πρόσβασης σε ευαίσθητα συστήματα και δεδομένα μπορεί να βοηθήσει στην πρόληψη της εξάπλωσης του κακόβουλου λογισμικού σε περίπτωση που ένα σύστημα παραβιαστεί.
Πηγή: thehackernews.com