Новости PhantomBlu: коварные лжебухгалтеры массово атакуют американские организации

NewsMaker

I'm just a script
Премиум
13,846
20
8 Ноя 2022
Тот случай, когда сотрудникам лучше не знать, сколько они заработали за прошлый месяц…


w8nu95pes6f4ysrpxpu5e0ew7s2fl717.jpg


Израильская ИБ-компания Perception Point Для просмотра ссылки Войди или Зарегистрируйся детали новой фишинговой кампании, направленной против американских организаций. Атаки имеют своей целью внедрение троянской программы для удалённого доступа, известной как NetSupport RAT, в рамках операции под кодовым названием PhantomBlu.

Особенность данной операции заключается в манипуляциях хакерами OLE -шаблонами, что позволяет выполнять зловредный код, избегая обнаружения, путём использования документов Microsoft Office.

NetSupport RAT является зловредной версией законного инструмента для удалённого рабочего стола NetSupport Manager и позволяет злоумышленникам собирать конфиденциальные данные с зараженного устройства.

Фишинговая атака начинается с электронного письма на тему зарплаты, якобы отправленного отделом бухгалтерии. Текст письма призывает получателей открыть прикреплённый документ Word для просмотра «месячного отчёта о зарплате».

Документ содержит инструкции по вводу пароля из тела письма и активации режима редактирования, а также предлагает дважды кликнуть по иконке принтера для просмотра графика зарплаты. Нажатие по принтеру запускает ZIP-архив с вредоносным ярлыком внутри. Запуск этого ярлыка, в конечном итоге, и приводит к скачиванию и выполнению NetSupport RAT на целевой машине.


nt07d0bkgiqtektxissq1s8q13u5zqha.png


Письмо, файл-приманка, архив и вредоносный ярлык

Исследователи также отмечают растущее злоупотребление облачными платформами и популярными сетями доставки контента (CDN) для создания полностью необнаруживаемых фишинговых ссылок. Такие ссылки обычно создаются с помощью специальных фишинговых наборов, которые предлагаются киберпреступниками в Telegram по подписке от 200 долларов в месяц. Такие решения обеспечивают продвинутую анонимность и уклонение от обнаружения благодаря встроенной антибот-защите.

Подобные инновации в фишинге и распространении вредоносного ПО указывают на постоянную эволюцию методов злоумышленников, день ото дня адаптирующих свою зловредную инфраструктуру под актуальные системы защиты для увеличения вероятность успеха своих вредоносных кампаний.
 
Источник новости
www.securitylab.ru