Израильская компания по кибербезопасности Perception Point раскрыла детали новой фишинговой кампании, направленной на организации в США. Цель атаки - развертывание вредоносного программного обеспечения для удаленного доступа, известного как NetSupport RAT, под кодовым названием операции PhantomBlu.
NetSupport RAT - это зловредная версия легитимного инструмента для удаленного рабочего стола NetSupport Manager. Это ПО позволяет злоумышленникам собирать данные с зараженных компьютеров.
Атака начинается с фишингового письма на тему зарплаты, якобы отправленного отделом бухгалтерии, с приложенным документом Microsoft Word, содержащим "ежемесячный отчет о зарплате". Особенность этой кампании заключается в использовании манипуляций с шаблонами OLE (Object Linking and Embedding) для выполнения зловредного кода через документы Microsoft Office, обходя системы обнаружения.
При открытии документа жертве предлагается ввести пароль из текста письма, включить редактирование и дважды кликнуть по значку принтера в документе для просмотра графика зарплаты. Это действие запускает архив ZIP, содержащий файл ярлыка Windows, который действует как загрузчик PowerShell для получения и выполнения файла NetSupport RAT с удаленного сервера.
Кампания также выделяется использованием закодированных документов .doc для доставки NetSupport RAT, что отличает ее от традиционных методов распространения этого вредоносного ПО. Помимо этого, наблюдается растущее использование общедоступных облачных сервисов и платформ, таких как Dropbox, GitHub и других, для создания скрытых фишинговых URL с помощью специальных комплектов для фишинга. Эти ссылки распространяются через Telegram по подписке и защищены от автоматического обнаружения с помощью антибот-систем.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.