Los ciberatacantes 'PhantomBlu' utilizan la puerta trasera de Microsoft Office a través de OLE

Una campaña de correo electrónico malicioso está dirigida a cientos de usuarios de Microsoft Office en organizaciones con sede en EE. UU. para entregar un troyano de acceso remoto (RAT) que evade la detección, en parte al aparecer como software legítimo.

En una campaña denominada "PhantomBlu" por investigadores de Perception Point, los atacantes se hacen pasar por un servicio de contabilidad en mensajes de correo electrónico que invitan a las personas a descargar un archivo de Microsoft Office Word, supuestamente para ver su "informe salarial mensual". Los objetivos reciben instrucciones detalladas para acceder al archivo de “informe” protegido con contraseña, que finalmente entrega el famoso RATA de NetSupport, malware derivado del legítimo NetSupport Manager, una herramienta de soporte técnico remoto legítimamente útil. Los actores de amenazas han utilizado anteriormente el RAT para rastrear los sistemas antes de enviarles ransomware.

"Diseñado para vigilancia y control sigilosos, transforma la administración remota en una plataforma para ataques cibernéticos y robo de datos", Ariel Davidpur, experto en seguridad web de Perception Point. revelado en una publicación de blog publicada esta semana.

Una vez instalado en el terminal de la víctima, NetSupport puede monitorear el comportamiento, capturar pulsaciones de teclas, transferir archivos, hacerse cargo de los recursos del sistema y moverse a otros dispositivos dentro de la red, "todo bajo la apariencia de un software de soporte remoto benigno", escribió.

Método de entrega OLE evasivo de NetSupport RAT

La campaña representa un método de entrega novedoso para NetSupport RAT mediante la manipulación de plantillas de vinculación e incrustación de objetos (OLE). Es un “método de explotación matizado” que utiliza plantillas de documentos legítimos de Microsoft Office para ejecutar código malicioso mientras evade la detección, escribió Davidpur. 

Si un usuario descarga el archivo.docx adjunto a los mensajes de la campaña y utiliza la contraseña adjunta para acceder a él, el contenido del documento indica además a los objetivos que hagan clic en "habilitar edición" y luego que hagan clic en la imagen de una impresora incrustada en el documento en para ver su “gráfico salarial”.

La imagen de la impresora es en realidad un paquete OLE, una característica legítima de Microsoft Windows que permite incrustar y vincular documentos y otros objetos. "Su uso legítimo permite a los usuarios crear documentos compuestos con elementos de diferentes programas", escribió Davidpur.

A través de la manipulación de plantillas OLE, los actores de amenazas explotan las plantillas de documentos para ejecutar código malicioso sin ser detectado ocultando la carga útil fuera del documento. La campaña es la primera vez que se utiliza este proceso en un correo electrónico para entregar NetSupport RAT, según Perceived Point.

"Esta técnica avanzada evita los sistemas de seguridad tradicionales al ocultar la carga maliciosa fuera del documento y ejecutarse únicamente tras la interacción del usuario", explicó Davidpur.

De hecho, al utilizar archivos .doc cifrados para entregar NetSupport RAT mediante plantilla OLE e inyección de plantilla (CWE T1221), la campaña PhantomBlu se aleja de las tácticas, técnicas y procedimientos (TTP) convencionales comúnmente asociados con NetSupport. Implementaciones de RAT.

"Históricamente, este tipo de campañas se han basado más directamente en archivos ejecutables y técnicas de phishing más simples", escribió Davidpur. El método OLE demuestra la innovación de la campaña al combinar “tácticas de evasión sofisticadas con ingeniería social”, escribió.

Escondiéndose detrás de la legitimidad

En su investigación de la campaña, los investigadores de Perception Point analizaron paso a paso el método de entrega y descubrieron que, al igual que la propia RAT, la carga útil se esconde detrás de la legitimidad en un esfuerzo por pasar desapercibido.

Específicamente, Perceived Point analizó la ruta de retorno y el ID del mensaje de los correos electrónicos de phishing, observando el uso que los atacantes hacían del “SendInBlue” o servicio Brevo. Brevo es una plataforma legítima de entrega de correo electrónico que ofrece servicios para campañas de marketing.

"Esta elección subraya la preferencia de los atacantes por aprovechar servicios acreditados para enmascarar sus intenciones maliciosas", escribió Davidpur.

Evitando el compromiso

Dado que PhantomBlu utiliza el correo electrónico como método para distribuir malware, las técnicas habituales para evitar compromisos, como instruir y capacitar a los empleados sobre cómo detectar y reportar correos electrónicos potencialmente maliciosos: presente su solicitud.

Como regla general, las personas nunca deben hacer clic en los archivos adjuntos de un correo electrónico a menos que provengan de una fuente confiable o de alguien con quien los usuarios se comuniquen regularmente, dicen los expertos. Además, los usuarios corporativos deberían informar especialmente los mensajes sospechosos a los administradores de TI, ya que pueden indicar signos de una campaña maliciosa.

Para ayudar aún más a los administradores a identificar PhantomBlu, Perceived Point incluyó una lista completa de TTP, indicadores de compromiso (IOC), URL y nombres de host, y direcciones IP asociadas con la campaña en la publicación del blog.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole