PhantomBlu: коварные лжебухгалтеры массово атакуют американские организации

Израильская ИБ-компания Perception Point раскрыла детали новой фишинговой кампании, направленной против американских организаций. Атаки имеют своей целью внедрение троянской программы для удалённого доступа, известной как NetSupport RAT, в рамках операции под кодовым названием PhantomBlu.

Особенность данной операции заключается в манипуляциях хакерами OLE-шаблонами, что позволяет выполнять зловредный код, избегая обнаружения, путём использования документов Microsoft Office.

NetSupport RAT является зловредной версией законного инструмента для удалённого рабочего стола NetSupport Manager и позволяет злоумышленникам собирать конфиденциальные данные с зараженного устройства.

Фишинговая атака начинается с электронного письма на тему зарплаты, якобы отправленного отделом бухгалтерии. Текст письма призывает получателей открыть прикреплённый документ Word для просмотра «месячного отчёта о зарплате».

Документ содержит инструкции по вводу пароля из тела письма и активации режима редактирования, а также предлагает дважды кликнуть по иконке принтера для просмотра графика зарплаты. Нажатие по принтеру запускает ZIP-архив с вредоносным ярлыком внутри. Запуск этого ярлыка, в конечном итоге, и приводит к скачиванию и выполнению NetSupport RAT на целевой машине.

Письмо, файл-приманка, архив и вредоносный ярлык

Исследователи также отмечают растущее злоупотребление облачными платформами и популярными сетями доставки контента (CDN) для создания полностью необнаруживаемых фишинговых ссылок. Такие ссылки обычно создаются с помощью специальных фишинговых наборов, которые предлагаются киберпреступниками в Telegram по подписке от 200 долларов в месяц. Такие решения обеспечивают продвинутую анонимность и уклонение от обнаружения благодаря встроенной антибот-защите.

Подобные инновации в фишинге и распространении вредоносного ПО указывают на постоянную эволюцию методов злоумышленников, день ото дня адаптирующих свою зловредную инфраструктуру под актуальные системы защиты для увеличения вероятность успеха своих вредоносных кампаний.