Uma sofisticada campanha de phishing contra os EUA. organizações estão implantando um trojan de acesso remoto conhecido como NetSupport RAT. Apelidado “Operação Fantasma Blu,” a atividade foi monitorado de perto pela empresa israelense de segurança cibernética Perception Point.
De acordo com o pesquisador de segurança Ariel Davidpur, a operação PhantomBlu apresenta uma abordagem refinada às táticas de exploração. Ao contrário dos métodos de entrega típicos associados ao NetSupport RAT, os invasores empregaram vinculação e incorporação de objetos (OLE) manipulação de modelo. Explorando modelos de documentos do Microsoft Office, eles executam código malicioso enquanto evitam a detecção.
RAT do NetSupport, uma variante ilegítima da ferramenta legítima de desktop remoto NetSupport Manager, concede aos agentes de ameaças um amplo espectro de recursos de coleta de dados em endpoints comprometidos.
Táticas de Phishing e Exploração do Microsoft Office
O ataque começa com um phishing e-mail disfarçado como uma comunicação do departamento de contabilidade da organização. O e-mail, com tema em torno de relatórios salariais, solicita que os destinatários abram um documento anexado do Microsoft Word intitulado “Relatório mensal de salários.”
Um exame mais detalhado dos cabeçalhos dos e-mails revela que os invasores utilizam a plataforma legítima de marketing por e-mail Brevo (anteriormente Sendinblue).
Ao abrir o documento do Word, os destinatários são instruídos a inserir uma senha fornecida e ativar a edição. Em seguida, eles serão solicitados a clicar duas vezes em um ícone de impressora no documento para visualizar um gráfico de salários. Esta ação inicia a abertura de um arquivo ZIP (“Gráfico20072007.zip”) contendo um arquivo de atalho do Windows. Este arquivo atua como um conta-gotas do PowerShell, buscar e executar um binário NetSupport RAT de um servidor remoto.
Davidpur destaca a inovação da Operação PhantomBlu ao combinar táticas sofisticadas de evasão com engenharia social. O uso de .docs criptografados e injeção de modelo OLE para entregar o NetSupport RAT representa um afastamento das táticas convencionais, aumentando a furtividade e a eficácia da campanha.
Exploração de plataformas em nuvem e CDNs populares
Simultaneamente, especialistas em segurança cibernética levantaram preocupações sobre o crescente abuso de serviços de nuvem pública e da Web 3.0 plataformas de hospedagem de dados por atores de ameaças. Serviços como Dropbox, GitHub, Nuvem IBM, e Oracle Cloud Storage, bem como plataformas como Pinata construídas no InterPlanetary File System (IPFS) protocolo, estão sendo explorados para gerar URLs de phishing totalmente indetectáveis usando kits de phishing.
Esses URLs maliciosos, comumente conhecido como FUD (Totalmente Indetectável) ligações, são vendidos por vendedores clandestinos em plataformas como Telegram. Eles têm preços a partir de $200 por mês e são protegidos por barreiras antibot para evitar a detecção.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: