Une campagne de courrier électronique malveillant cible des centaines d'utilisateurs de Microsoft Office dans des organisations basées aux États-Unis afin de leur proposer un cheval de Troie d'accès à distance (RAT) qui échappe à la détection, en partie en se présentant comme un logiciel légitime.
Dans une campagne baptisée « PhantomBlu » par les chercheurs de Perception Point, les attaquants se font passer pour un service de comptabilité dans des messages électroniques invitant les gens à télécharger un fichier Microsoft Office Word, prétendument pour consulter leur « rapport de salaire mensuel ». Les cibles reçoivent des instructions détaillées pour accéder au fichier « rapport » protégé par mot de passe, qui fournit finalement le fameux RAT NetSupport, les logiciels malveillants issus du légitime NetSupport Manager, un outil d'assistance technique à distance légitimement utile. Les acteurs de la menace ont déjà utilisé le RAT pour analyser les systèmes avant de leur infliger un ransomware.
"Conçu pour une surveillance et un contrôle furtifs, il transforme l'administration à distance en une plate-forme de cyberattaques et de vol de données", Ariel Davidpur, expert en sécurité Web de Perception Point. révélé dans un article de blog publié cette semaine.
Une fois installé sur le point final d'une victime, NetSupport peut surveiller le comportement, capturer les frappes au clavier, transférer des fichiers, prendre en charge les ressources système et se déplacer vers d'autres appareils au sein du réseau, « tout cela sous le couvert d'un logiciel d'assistance à distance inoffensif », a-t-il écrit.
Méthode de livraison OLE évasive de NetSupport RAT
La campagne représente une nouvelle méthode de livraison pour NetSupport RAT via la manipulation de modèles OLE (Object Linking and Embedding). Il s'agit d'une « méthode d'exploitation nuancée » qui utilise des modèles de documents Microsoft Office légitimes pour exécuter du code malveillant tout en échappant à la détection, a écrit Davidpur.
Si un utilisateur télécharge le fichier.docx joint aux messages de la campagne et utilise le mot de passe qui l'accompagne pour y accéder, le contenu du document demande en outre aux cibles de cliquer sur « activer l'édition », puis de cliquer sur l'image d'une imprimante intégrée au document dans afin de visualiser leur « graphique de salaire ».
L'image de l'imprimante est en fait un package OLE, une fonctionnalité légitime de Microsoft Windows qui permet l'intégration et la liaison vers des documents et d'autres objets. "Son utilisation légitime permet aux utilisateurs de créer des documents composés avec des éléments provenant de différents programmes", a écrit Davidpur.
Grâce à la manipulation de modèles OLE, les acteurs malveillants exploitent les modèles de documents pour exécuter du code malveillant sans détection en masquant la charge utile à l'extérieur du document. Selon Perceptive Point, c'est la première fois que ce processus est utilisé dans un e-mail pour livrer NetSupport RAT.
"Cette technique avancée contourne les systèmes de sécurité traditionnels en cachant la charge malveillante à l'extérieur du document, et ne s'exécutant que lors de l'interaction de l'utilisateur", a expliqué Davidpur.
En effet, en utilisant des fichiers .doc cryptés pour fournir le RAT NetSupport via un modèle OLE et une injection de modèle (CWE T1221), la campagne PhantomBlu s'écarte des tactiques, techniques et procédures (TTP) conventionnelles communément associées à NetSupport. Déploiements RAT.
"Historiquement, de telles campagnes reposaient plus directement sur des fichiers exécutables et des techniques de phishing plus simples", a écrit Davidpur. La méthode OLE démontre l'innovation de la campagne en combinant « des tactiques d'évasion sophistiquées avec l'ingénierie sociale », a-t-il écrit.
Se cacher derrière la légitimité
Dans leur enquête sur la campagne, les chercheurs de Perception Point ont disséqué la méthode de livraison étape par étape, découvrant que, comme le RAT lui-même, la charge utile se cache derrière la légitimité dans le but de passer sous le radar.
Plus précisément, Perceptive Point a analysé le chemin de retour et l'ID du message des e-mails de phishing, observant l'utilisation par les attaquants du «SendInBlue» ou service Brevo. Brevo est une plateforme de livraison d'e-mails légitime qui propose des services pour les campagnes marketing.
"Ce choix souligne la préférence des attaquants pour exploiter des services réputés pour masquer leurs intentions malveillantes", a écrit Davidpur.
Éviter les compromis
Étant donné que PhantomBlu utilise le courrier électronique comme méthode pour diffuser des logiciels malveillants, les techniques habituelles pour éviter toute compromission, telles que les instructions et former les employés sur la façon de repérer et de signaler les e-mails potentiellement malveillants : postulez.
En règle générale, les gens ne devraient jamais cliquer sur les pièces jointes d'un e-mail à moins qu'elles ne proviennent d'une source fiable ou d'une personne avec qui les utilisateurs correspondent régulièrement, disent les experts. De plus, les utilisateurs en entreprise doivent signaler les messages suspects aux administrateurs informatiques, car ils peuvent indiquer des signes d'une campagne malveillante.
Pour aider davantage les administrateurs à identifier PhantomBlu, Perceptive Point a inclus une liste complète des TTP, des indicateurs de compromission (IOC), des URL et des noms d'hôte, ainsi que des adresses IP associées à la campagne dans le billet de blog.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole
- :est
- $UP
- 7
- a
- Qui sommes-nous
- accès
- accès
- Selon
- Comptabilité
- acteurs
- actually
- adresses
- administration
- administrateurs
- Avancée
- Tous
- permet
- an
- analysé
- ainsi que le
- Appliquer
- AS
- aider
- associé
- At
- Attaques
- éviter
- en évitant
- détourné
- before
- humain
- derrière
- Mélangeurs Spéciaux
- Blog
- by
- Campagne
- Campagnes
- CAN
- capturer
- le choix
- cliquez
- code
- comment
- communément
- Composé
- complet
- compromis
- contenu
- des bactéries
- conventionnel
- Entreprises
- engendrent
- cyber
- Cyber-attaques
- données
- livrer
- livrer
- offre
- page de livraison.
- démontre
- détaillé
- Détection
- Compatibles
- différent
- directement
- découverte
- document
- INSTITUTIONNELS
- download
- téléchargements
- doublé
- effort
- éléments
- emails
- intégré
- enrobage
- permettre
- permet
- crypté
- Endpoint
- conçu
- ENGINEERING
- notamment
- évasion
- exécuter
- exécution
- expert
- de santé
- expliqué
- Exploiter
- exploitation
- Fonctionnalité
- Déposez votre dernière attestation
- Fichiers
- Prénom
- première fois
- numérique
- Pour
- De
- plus
- Général
- graphique
- apparence
- Vous avez
- he
- cacher
- historiquement
- Comment
- How To
- HTTPS
- Des centaines
- ID
- identifier
- image
- imiter
- in
- inclus
- indiquer
- Indicateurs
- Innovation
- Installé
- Des instructions
- intention
- l'interaction
- développement
- enquête
- nous invitons les riders XCO et DH à rouler sur nos pistes haute performance, et leurs supporters à profiter du spectacle. Pour le XNUMXe anniversaire, nous visons GRAND ! Vous allez vouloir être là ! Nous accueillerons la légendaire traversée de l'étant avec de la musique en direct ! Nous aurons également des divertissements pour les jeunes et les jeunes de cœur pendant l'après-midi. Vous ne voudrez pas manquer ça !
- IP
- adresses IP
- IT
- SES
- lui-même
- jpg
- légitimité
- légitime
- en tirant parti
- comme
- lien
- Liste
- malveillant
- malware
- Manipulation
- Stratégie
- masque
- Mai..
- message
- messages
- méthode
- Microsoft
- Microsoft Windows
- Surveiller
- mensuel
- PLUS
- Par ailleurs
- Bougez
- réseau et
- n'allons jamais
- célèbre
- roman
- nuance
- objet
- objets
- of
- de rabais
- Offres Speciales
- Bureaux
- on
- uniquement
- or
- de commander
- organisations
- Autre
- au contrôle
- plus de
- paquet
- Mot de Passe
- chemin
- Personnes
- perception
- phishing
- plateforme
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Point
- Post
- l'éventualité
- précédemment
- procédures
- processus
- Programmes
- publié
- radar
- ransomware
- RAT
- recevoir
- régulièrement
- éloigné
- rapport
- représente
- honorable
- chercheurs
- Resources
- retourner
- Règle
- s
- salaire
- dire
- sécurité
- service
- Services
- devrait
- montrant
- Signes
- plus simple
- Réseaux sociaux
- Ingénierie sociale
- Logiciels
- Quelqu'un
- sophistiqué
- Identifier
- Spot
- pivoté
- furtif
- étapes
- tel
- Support
- surveillance
- soupçonneux
- combustion propre
- Système
- tactique
- Prenez
- ciblage
- objectifs
- Technique
- technique
- techniques
- modèle
- modèles
- qui
- Les
- vol
- leur
- Les
- puis
- l'ont
- this
- cette semaine
- menace
- acteurs de la menace
- fiable
- à
- outil
- traditionnel
- transférer
- se transforme
- Trojan
- confiance
- En fin de compte
- sous
- soulignés
- à moins que
- sur
- utilisé
- d'utiliser
- incontournable
- Utilisateur
- utilisateurs
- Usages
- en utilisant
- habituel
- via
- Victime
- Voir
- était
- web
- Sécurité Web
- semaine
- qui
- tout en
- fenêtres
- comprenant
- dans les
- sans
- Word
- écrit
- zéphyrnet
