Kampanye Phising Baru Menggunakan RAT ‘NetSupport Manager’

  • Cortex XDR Unit42 menangkap kampanye phishing baru di jaringannya, yang mencoba menjatuhkan RAT pada sistem korban.
  • Alat ini adalah ‘NetSupport Manager’, yang telah digunakan untuk tujuan jahat lagi di masa lalu.
  • Email phishing mencoba menipu penerima dengan menyebutkan detail pesanan dan pembayaran tanpa otorisasi.

Para peneliti di Unit42 telah terdeteksi kampanye phishing baru yang mencoba menanam RAT ‘NetSupport Manager’ (alat akses jarak jauh) ke dalam sistem korbannya. Umpan tersebut adalah dokumen Microsoft Word yang berbahaya yang disamarkan sebagai file NortonLifelock yang dilindungi kata sandi. NetSupport Manager adalah alat yang biasanya digunakan oleh administrator jaringan dan sistem untuk tujuan yang sah, tetapi pelaku phising juga menyebarkannya karena memungkinkan mereka untuk mendapatkan akses tidak sah ke komputer korban.

Menurut laporan itu, aktivitas kampanye tertentu pertama kali muncul pada November 2019 dan mencapai puncaknya pada Januari 2020. Email phising mengklaim bahwa dokumen terlampir berisi informasi penting bagi penerima, dan memberikan kata sandi untuk membukanya. Biasanya, ada juga yang menyebutkan seseorang yang entah bagaimana dikaitkan dengan penerima. Adapun subjek email, ini biasanya berkaitan dengan pengembalian uang, transaksi tidak sah, atau permintaan pertanyaan. Pesan itu juga menginformasikan bahwa untuk memasukkan kata sandi, pengguna harus mengaktifkan makro di Office suite mereka.

Pengiriman-dokumen-disamarkan sebagai NortonLifeLock. "Width =" 696 "height =" 555 "data-srcset =" https://cdn.technadu.com/wp-content/uploads/2020/02/Delivery-document- disguised-as-NortonLifeLock.-1024x817.png 1024w, https://cdn.technadu.com/wp-content/uploads/2020/02/Delivery-document-disguised-as-NortonLifeLock.-300x239.png 300w, https: //cdn.technadu.com/wp-content/uploads/2020/02/Delivery-document-disguised-as-NortonLifeLock.-768x613.png 768w, https://cdn.technadu.com/wp-content/uploads/ 2020/02 / Pengiriman-dokumen-menyamar-sebagai-NortonLifeLock.-1536x1226.png 1536w, https://cdn.technadu.com/wp-content/uploads/2020/02/Delivery-document-disguised-as-NortonLifeLock. -200x160.png 200w, https://cdn.technadu.com/wp-content/uploads/2020/02/Delivery-document-disguised-as-NortonLifeLock.-696x555.png 696w, https: //cdn.technadu. com / wp-content / uploads / 2020/02 / Pengiriman-dokumen-disamarkan-as-NortonLifeLock.-1068x852.png 1068w, https://cdn.technadu.com/wp-content/uploads/2020/02/Delivery- dokumen-menyamar-sebagai-Norto nLifeLock.-526x420.png 526w, https://cdn.technadu.com/wp-content/uploads/2020/02/Delivery-document-disguised-as-NortonLifeLock.-1920x1532.png 1920w, https: // cdn. technadu.com/wp-content/uploads/2020/02/Delivery-document-disguised-as-NortonLifeLock..png 2029w "ukuran =" (lebar maks: 696px) 100vw, 696pxSumber: Unit42

Setelah korban melakukan itu dan memasukkan kata sandi yang benar pada kotak dialog, makro mengeksekusi kode jahatnya yang membangun string perintah dan mengaburkannya pada VBA. String perintah meluncurkan sebuah executable yang bernama ‘cmd.exe’, membuat file batch bernama ‘alpaca.bat’, dan menjalankannya. Selanjutnya, muatan MSI diambil melalui msiexec, yang menginstal skrip PowerShell, Akhirnya, skrip itu menginstal RAT NetSupport Manager dan membangun persistensi dengan menanamkan kunci pada registri sistem. Sebelum melakukan itu, ia memeriksa keberadaan Avast atau AVG Antivirus dan bertindak sesuai dengannya. Jika semuanya berjalan dengan baik, alat RAT menjalin komunikasi dengan ‘geo.netsupportsoftware (.) Com 'dan mengirimkan data geolokasi host.

Cortex-XDR-rantai kausalitas "width =" 878 "height =" 470Sumber: Unit42

Kemungkinan besar, kampanye ini didorong oleh motif spionase dunia maya, karena tujuan para aktor adalah berkeliaran di dalam sistem yang dikompromikan dan mencari informasi yang berguna. Sebagian besar email phishing berakhir di kotak masuk produser film dan perusahaan percetakan, jadi ini menunjukkan pendekatan penargetan yang sempit. Akhirnya, para pelaku mengirim email dari domain yang didaftarkan hanya sehari sebelum atau bahkan kurang, sehingga mereka dapat melewati spam atau filter phishing yang mungkin ada. Penggunaan NetSupport RAT untuk tujuan jahat bukanlah hal yang baru FireEye melaporkan sesuatu yang serupa kembali pada bulan April 2018, sementara Zscaler ditemukan dua kampanye yang menggunakan RAT tertentu pada bulan November 2019.

Pos terkait

Back to top button