L'attacco di phishing dell'operazione PhantomBlu utilizza documenti MS per fornire NetSupport RAT

Una sofisticata campagna di phishing contro gli Stati Uniti. organizzazioni hanno implementato un trojan di accesso remoto noto come NetSupport RAT. Soprannominato “Operazione PhantomBlu,” l'attività è stata attentamente monitorato della società di sicurezza informatica israeliana Perception Point.

Secondo il ricercatore di sicurezza Ariel Davidpur, l'operazione PhantomBlu mostra un approccio raffinato alle tattiche di sfruttamento. A differenza dei metodi di consegna tipici associati a NetSupport RAT, gli aggressori hanno utilizzato Object Linking and Embedding (NO) manipolazione del modello. Sfruttando i modelli di documenti di Microsoft Office, eseguono codice dannoso mentre eludono il rilevamento.

NetSupport RATTO, una variante illegittima dello strumento legittimo di desktop remoto NetSupport Manager, garantisce agli autori delle minacce un ampio spettro di capacità di raccolta dati sugli endpoint compromessi.

Tattiche di phishing e sfruttamento di Microsoft Office

L'attacco inizia con a e-mail di phishing mascherato da comunicazione del reparto contabilità dell'organizzazione. L'email, incentrato sui rapporti salariali, richiede ai destinatari di aprire un documento Microsoft Word allegato intitolato “Rapporto mensile sullo stipendio.”

Un esame più attento delle intestazioni delle e-mail rivela che gli aggressori utilizzano la piattaforma legittima di email marketing Brevo (precedentemente Sendinblue).

All'apertura del documento Word, ai destinatari viene richiesto di inserire la password fornita e di abilitare la modifica. Viene quindi richiesto di fare doppio clic sull'icona di una stampante all'interno del documento per visualizzare un grafico degli stipendi. Questa azione avvia l'apertura di un file di archivio ZIP (“Grafico20072007.zip”) contenente un file di collegamento di Windows. Questo file funge da contagocce di PowerShell, recuperare ed eseguire un file binario NetSupport RAT da un server remoto.

Davidpur sottolinea l'innovazione dell'operazione PhantomBlu nel fondere sofisticate tattiche di evasione con l'ingegneria sociale. L'uso di file .doc crittografati e dell'inserimento di modelli OLE per fornire NetSupport RAT rappresenta un allontanamento dalle tattiche convenzionali, migliorare la segretezza e l'efficacia della campagna.

Sfruttamento delle piattaforme cloud e dei CDN più diffusi

Contemporaneamente, Gli esperti di sicurezza informatica hanno espresso preoccupazione per il crescente abuso dei servizi cloud pubblici e del Web 3.0 piattaforme di hosting di dati da parte di autori di minacce. Servizi come Dropbox, GitHub, IBM Cloud, e Oracle Cloud Storage, così come piattaforme come Pinata basate sull'InterPlanetary File System (IPFS) protocollo, vengono sfruttati per generare URL di phishing completamente non rilevabili utilizzando kit di phishing.

Questi URL dannosi, comunemente noto come FUD (completamente inosservabile) link, sono venduti da venditori clandestini su piattaforme come Telegram. Hanno un prezzo a partire da $200 al mese e sono protetti dietro barriere antibot per eludere il rilevamento.