The researchers of Palo Alto Networks‘ Unit 42 they discovered a new phishing campaign, η οποία περιλαμβάνει την αποστολή email που περιέχει Documents, προστατευμένα με κωδικό Accessed at, as well as a legal tool απομακρυσμένης πρόσβασης. The aim is to απόκτηση πρόσβασης στα Networks of the victims.
Η phishing εκστρατεία ξεκίνησε τον Ιανουάριο και χρησιμοποιεί αρκετές techniques για την παραβίαση των συστημάτων των θυμάτων και την απόκτηση απομακρυσμένης πρόσβασης στα δίκτυα.
Τα θύματα λαμβάνουν phishing emails που περιλαμβάνουν ένα έγγραφο που προστατεύεται με κωδικό πρόσβασης. Το μήνυμα αναφέρει ότι ο κωδικός πρόσβασης έχει τοποθετηθεί για την προστασία των εμπιστευτικών data που περιλαμβάνει το έγγραφο. Τα περισσότερα από τα emails σχετίζονται με επιστροφές χρημάτων, ηλεκτρονικές συναλλαγές και τιμολόγια.
Ο Password πρόσβασης περιλαμβάνεται στο phishing email.
Το ξεκλείδωμα του εγγράφου επιτρέπει την ενεργοποίηση μακροεντολών and εκτελεί τις εντολές που είναι απαραίτητες για τα επόμενα στάδια της attack. The hackers use PowerShell για να εγκαταστήσουν ένα εργαλείο απομακρυσμένης πρόσβασης και άλλους μηχανισμούς που θα τους επιτρέψουν να μείνουν για πολύ καιρό μέσα στο system.
Το εργαλείο που εγκαθίσταται είναι το NetSupport Manager, a legal Software απομακρυσμένης πρόσβασης που χρησιμοποιείται συχνά στην υποστήριξη IT.
Ωστόσο, αν χρησιμοποιηθεί από κακόβουλους hackers μπορεί να επιτρέψει την κλοπή πληροφοριών ή μπορεί να βοηθήσει στην πραγματοποίηση ενός πιο επικίνδυνου και μακροπρόθεσμου σχεδίου. Για παράδειγμα, θα μπορούσε να χρησιμοποιηθεί από τους επιτιθέμενους για την παρακολούθηση των εισερχόμενων και εξερχόμενων email του θύματος. Με αυτόν τον τρόπο, οι επιτιθέμενοι παίρνουν information και για άλλους users. Στη συνέχεια, μπορούν να πραγματοποιήσουν και άλλες phishing επιθέσεις στοχεύοντας άλλους ανθρώπους.
Το κακό είναι ότι τα λογισμικά προστασίας από ιούς δεν μπορούν να εντοπίσουν το NetSupport Manager ως malicious, γιατί είναι νόμιμο προϊόν.
The researchers δεν έχουν ακόμα ανακαλύψει τον απώτερο σκοπό αυτής της phishing εκστρατείας. Ωστόσο, από τη στιγμή που απαιτείται ενεργοποίηση μακροεντολών, The IT διαχειριστές μπορούν να προστατεύσουν τους χρήστες, απενεργοποιώντας τις μακροεντολές από προεπιλογή. Επιπλέον, οι χρήστες θα πρέπει να είναι πολύ προσεκτικοί με τα emails που λαμβάνουν, ειδικά αν προέρχονται από άγνωστες πηγές.
