Eine raffinierte Phishing-Kampagne gegen die USA. Organisationen haben einen Fernzugriffstrojaner namens NetSupport RAT eingesetzt. synchronisiert “Operation PhantomBlu,” die Aktivität war Genau überwacht vom israelischen Cybersicherheitsunternehmen Perception Point.
Laut Sicherheitsforscher Ariel Davidpur, Die PhantomBlu-Operation zeigt einen raffinierten Ansatz für Ausbeutungstaktiken. Im Gegensatz zu typischen Bereitstellungsmethoden im Zusammenhang mit NetSupport RAT, Die Angreifer haben Object Linking und Embedding eingesetzt (NO) Vorlagenmanipulation. Durch die Nutzung von Microsoft Office-Dokumentvorlagen, Sie führen bösartigen Code aus und entgehen dabei der Entdeckung.
NetSupport RAT, eine illegale Variante des legitimen Remote-Desktop-Tools NetSupport Manager, gewährt Bedrohungsakteuren ein breites Spektrum an Möglichkeiten zur Datenerfassung auf kompromittierten Endpunkten.
Phishing-Taktiken und Ausnutzung von Microsoft Office
Der Angriff beginnt mit a Phishing-E-Mail getarnt als Mitteilung der Buchhaltungsabteilung der Organisation. Die Email, thematisch rund um Gehaltsberichte, fordert die Empfänger auf, ein angehängtes Microsoft Word-Dokument mit dem Titel zu öffnen “Monatlicher Gehaltsbericht.”
Eine genauere Untersuchung der E-Mail-Header zeigt, dass die Angreifer die legitime E-Mail-Marketing-Plattform Brevo nutzen (früher Sendinblue).
Beim Öffnen des Word-Dokuments, Empfänger werden aufgefordert, ein bereitgestelltes Passwort einzugeben und die Bearbeitung zu aktivieren. Anschließend werden sie aufgefordert, auf ein Druckersymbol im Dokument zu doppelklicken, um eine Gehaltsgrafik anzuzeigen. Diese Aktion initiiert das Öffnen einer ZIP-Archivdatei (“Chart20072007.zip”) enthält eine Windows-Verknüpfungsdatei. Diese Datei fungiert als PowerShell-Dropper, Abrufen und Ausführen einer NetSupport RAT-Binärdatei von einem Remote-Server.
Davidpur hebt die Innovation der Operation PhantomBlu hervor, die ausgefeilte Ausweichtaktiken mit Social Engineering verbindet. Die Verwendung verschlüsselter .docs und OLE-Vorlageninjektion zur Bereitstellung von NetSupport RAT stellt eine Abkehr von herkömmlichen Taktiken dar, Verbesserung der Tarnung und Wirksamkeit der Kampagne.
Nutzung von Cloud-Plattformen und beliebten CDNs
Gleichzeitig, Cybersicherheitsexperten haben Bedenken hinsichtlich des zunehmenden Missbrauchs öffentlicher Cloud-Dienste und des Internets geäußert 3.0 Daten-Hosting-Plattformen durch Bedrohungsakteure. Dienste wie Dropbox, GitHub, IBM Cloud, und Oracle Cloud Storage, sowie Plattformen wie Pinata, die auf dem InterPlanetary File System basieren (IPFS) Protokoll, werden ausgenutzt, um mithilfe von Phishing-Kits völlig unentdeckbare Phishing-URLs zu generieren.
Diese bösartigen URLs, allgemein bekannt als FUD (vollständig unaufdeckbar) Links, werden von Untergrundhändlern auf Plattformen wie Telegram verkauft. Die Preise beginnen bei $200 pro Monat und werden hinter Antibot-Barrieren gesichert, um einer Entdeckung zu entgehen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: