Une campagne de phishing sophistiquée contre les États-Unis. Les organisations ont déployé un cheval de Troie d'accès à distance connu sous le nom de NetSupport RAT.. Doublé “Opération PhantomBlu,” l'activité a été étroitement surveillé par la société israélienne de cybersécurité Perception Point.
Selon le chercheur en sécurité Ariel Davidpur, l'opération PhantomBlu présente une approche raffinée des tactiques d'exploitation. Contrairement aux méthodes de livraison typiques associées à NetSupport RAT, les attaquants ont utilisé la liaison et l'intégration d'objets (NO) manipulation de modèle. En exploitant les modèles de documents Microsoft Office, ils exécutent du code malveillant tout en échappant à la détection.
NetSupport RAT, une variante illégitime de l'outil de bureau à distance légitime NetSupport Manager, offre aux acteurs malveillants un large éventail de capacités de collecte de données sur les points finaux compromis.
Tactiques de phishing et exploitation de Microsoft Office
L'attaque commence par un phishing email déguisé en communication du service comptable de l'organisation. Le courriel, sur le thème des rapports de salaires, invite les destinataires à ouvrir un document Microsoft Word joint intitulé “Rapport de salaire mensuel.”
Un examen plus approfondi des en-têtes des e-mails révèle que les attaquants utilisent la plateforme légitime de marketing par e-mail Brevo. (anciennement Sendinblue).
À l'ouverture du document Word, les destinataires sont invités à saisir un mot de passe fourni et à activer la modification. Ils sont ensuite invités à double-cliquer sur l'icône d'une imprimante dans le document pour afficher un graphique des salaires.. Cette action initie l'ouverture d'un fichier d'archive ZIP (“Graphique20072007.zip”) contenant un fichier de raccourci Windows. Ce fichier agit comme un compte-gouttes PowerShell, récupérer et exécuter un binaire NetSupport RAT à partir d'un serveur distant.
Davidpur souligne l'innovation de l'opération PhantomBlu en combinant des tactiques d'évasion sophistiquées avec l'ingénierie sociale. L'utilisation de fichiers .docs chiffrés et de l'injection de modèles OLE pour fournir NetSupport RAT représente une rupture par rapport aux tactiques conventionnelles., améliorer la furtivité et l'efficacité de la campagne.
Exploitation des plateformes cloud et des CDN populaires
Dans le même temps, Les experts en cybersécurité ont exprimé leurs inquiétudes quant à l'abus croissant des services de cloud public et du Web. 3.0 plateformes d’hébergement de données par les acteurs malveillants. Des services comme Dropbox, GitHub, IBM-Cloud, et Oracle Cloud Storage, ainsi que des plates-formes comme Pinata construites sur le système de fichiers interplanétaire (IPFS) protocole, sont exploités pour générer des URL de phishing totalement indétectables à l'aide de kits de phishing.
Ces URL malveillantes, communément appelé FUD (entièrement Indétectable) des liens, sont vendus par des vendeurs clandestins sur des plateformes comme Telegram. Leur prix commence à $200 par mois et sont sécurisés derrière des barrières antibot pour échapper à la détection.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: