El ataque de phishing Operation PhantomBlu utiliza documentos de MS para entregar NetSupport RAT

Una sofisticada campaña de phishing contra EE.UU.. organizaciones han estado implementando un troyano de acceso remoto conocido como NetSupport RAT. apodado “Operación Fantasma Azul,” la actividad ha sido monitoreado de cerca por la firma israelí de ciberseguridad Perception Point.

Según el investigador de seguridad Ariel Davidpur, La operación PhantomBlu muestra un enfoque refinado de las tácticas de explotación.. A diferencia de los métodos de entrega típicos asociados con NetSupport RAT, los atacantes han empleado vinculación e incrustación de objetos (NO) manipulación de plantillas. Explotando las plantillas de documentos de Microsoft Office, ejecutan código malicioso mientras evaden la detección.

NetSupport rata, una variante ilegítima de la herramienta legítima de escritorio remoto NetSupport Manager, otorga a los actores de amenazas un amplio espectro de capacidades de recopilación de datos en puntos finales comprometidos.

Tácticas de phishing y explotación de Microsoft Office

El ataque comienza con un correo electrónico de phishing disfrazado de comunicación del departamento de contabilidad de la organización. El correo electrónico, temática en torno a informes salariales, solicita a los destinatarios que abran un documento adjunto de Microsoft Word titulado “Informe salarial mensual.”

Un examen más detenido de los encabezados de los correos electrónicos revela que los atacantes utilizan la plataforma legítima de marketing por correo electrónico Brevo. (anteriormente Sendinblue).

Al abrir el documento de Word, Se indica a los destinatarios que ingresen una contraseña proporcionada y permitan la edición.. Luego se les solicita que hagan doble clic en el ícono de una impresora dentro del documento para ver un gráfico salarial.. Esta acción inicia la apertura de un archivo ZIP. (“Gráfico20072007.zip”) que contiene un archivo de acceso directo de Windows. Este archivo actúa como un cuentagotas de PowerShell., buscar y ejecutar un binario RAT de NetSupport desde un servidor remoto.

Davidpur destaca la innovación de la Operación PhantomBlu al combinar sofisticadas tácticas de evasión con ingeniería social. El uso de .docs cifrados y la inyección de plantillas OLE para entregar NetSupport RAT representa un alejamiento de las tácticas convencionales., Mejorar el sigilo y la eficacia de la campaña..

Explotación de plataformas en la nube y CDN populares

Simultaneamente, Los expertos en ciberseguridad han expresado su preocupación por el creciente abuso de los servicios de nube pública y la Web. 3.0 plataformas de alojamiento de datos por parte de actores de amenazas. Servicios como Dropbox, GitHub, nube de ibm, y almacenamiento en la nube de Oracle, así como plataformas como Pinata construidas en el sistema de archivos InterPlanetary (IPFS) protocolo, están siendo explotados para generar URL de phishing totalmente indetectables mediante kits de phishing.

Estas URL maliciosas, comúnmente conocido como FUD (totalmente indetectable) campo de golf, son vendidos por vendedores clandestinos en plataformas como Telegram. Tienen precios a partir de $200 por mes y están protegidos detrás de barreras antibot para evadir la detección.