ABD merkezli kuruluşlardaki çalışanlar, NetSupport RAT kötü amaçlı yazılımını “incelikli” istismar yoluyla ve gelişmiş bir tespitten kaçınma yöntemi kullanarak dağıtan e-postalarla hedefleniyor.
Kötü amaçlı yazılım kampanyası
PhantomBlu adı verilen kampanya, meşru bir muhasebe hizmetinden geldiği iddia edilen e-posta mesajları şeklini alıyor.
Saldırganlar, tespit edilmekten kaçınmak için meşru bir e-posta dağıtım platformu olan “SendInBlue” veya Brevo hizmetini kullanıyor.
Kimlik avı e-postaları, alıcılardan “aylık maaş raporlarını” görüntülemek için ekteki Office Word dosyasını (.docx) indirmelerini ister.
PhantomBlu kimlik avı e-postası. (Kaynak: Algı Noktası)
Dosyayı indirdikten sonra kurbanlardan sağlanan şifreyi girmeleri, “düzenlemeyi etkinleştir”e tıklamaları ve ardından “maaş grafiğini” görüntülemek için bir yazıcı resmine çift tıklamaları isteniyor.
Ancak tıklanabilir yazıcı görüntüsü aslında uygulamalar arasında veri ve nesne paylaşımına izin veren bir Microsoft Windows özelliği olan bir Nesne Bağlama ve Katıştırma (OLE) paketidir.
Yazıcı simgesine tıklandığında OLE şablon manipülasyonu tetiklenir ve tek bir LNK dosyası içeren arşivlenmiş bir .zip dosyası açılır: diğer şeylerin yanı sıra NetSupport RAT için yürütülebilir bir dosya ve tasarlanmış bir kayıt defteri anahtarı içeren bir komut dosyasını alıp çalıştıran bir PowerShell damlalığı. kalıcılığını sağlamaktır.
Perception Point araştırmacıları, “Bu gelişmiş teknik, yükü belgenin dışında gizleyerek ve yalnızca kullanıcı etkileşimi üzerine yürütülerek geleneksel güvenlik önlemlerini atlıyor” dedi.
NetSupport RAT
NetSupport RAT, yasal uzak masaüstü aracı NetSupport Manager'ı temel alır. Saldırganlar tarafından, gelecekteki saldırılara zemin hazırlamak amacıyla sistemlere sızmak için yaygın olarak kullanılır.
Araştırmacılar, “NetSupport, bir kurbanın uç noktasına kurulduktan sonra davranışı izleyebilir, tuş vuruşlarını (keylogger) yakalayabilir, dosyaları aktarabilir, sistem kaynaklarına el koyabilir ve ağ içindeki diğer cihazlara geçebilir; bunların hepsini iyi huylu bir uzaktan destek yazılımı kisvesi altında yapabilir” dedi. .
(Diğer?) saldırganların daha önce NetSupport RAT'ı sunmak için Windows SmartScreen kimlik avı ve kötü amaçlı yazılımdan koruma bileşenindeki bir güvenlik açığından (CVE-2023-36025) yararlandıkları tespit edilmişti.