Cyberattacker 'PhantomBlu' backdoor per utenti Microsoft Office tramite OLE

Una campagna di posta elettronica dannosa prende di mira centinaia di utenti di Microsoft Office in organizzazioni con sede negli Stati Uniti per fornire un file trojan di accesso remoto (RAT) che sfugge al rilevamento, in parte presentandosi come software legittimo.

In una campagna soprannominata “PhantomBlu” dai ricercatori di Perception Point, gli aggressori si spacciano per un servizio di contabilità in messaggi di posta elettronica che invitano le persone a scaricare un file di Microsoft Office Word, presumibilmente per visualizzare il loro “report mensile sullo stipendio”. Gli obiettivi ricevono istruzioni dettagliate per accedere al file di "report" protetto da password, che alla fine consegna il famigerato NetSupport RATTO, malware derivato da quello legittimo NetSupport Manager, uno strumento di supporto tecnico remoto legittimamente utile. Gli autori delle minacce hanno già utilizzato il RAT per monitorare i sistemi prima di distribuirvi il ransomware.

"Progettato per sorveglianza e controllo furtivi, trasforma l'amministrazione remota in una piattaforma per attacchi informatici e furto di dati", Ariel Davidpur, esperto di sicurezza Web di Perception Point rivelato in un post sul blog pubblicato questa settimana.

Una volta installato sull'endpoint di una vittima, NetSupport può monitorare il comportamento, acquisire sequenze di tasti, trasferire file, assumere il controllo delle risorse di sistema e spostarsi su altri dispositivi all'interno della rete, "tutto sotto le spoglie di un software di supporto remoto benigno", ha scritto.

Metodo di consegna OLE evasivo di NetSupport RAT

La campagna rappresenta un nuovo metodo di distribuzione per NetSupport RAT tramite la manipolazione di modelli OLE (Object Linking and Embedding). Si tratta di un "metodo di sfruttamento sfumato" che utilizza modelli di documenti legittimi di Microsoft Office per eseguire codice dannoso eludendo il rilevamento, ha scritto Davidpur. 

Se un utente scarica il file.docx allegato ai messaggi della campagna e utilizza la password di accompagnamento per accedervi, il contenuto del documento istruisce ulteriormente i destinatari a fare clic su "abilita modifica" e quindi a fare clic sull'immagine di una stampante incorporata nel documento in per visualizzare il loro “grafico salariale”.

L'immagine della stampante è in realtà un pacchetto OLE, una funzionalità legittima di Microsoft Windows che consente l'incorporamento e il collegamento a documenti e altri oggetti. "Il suo utilizzo legittimo consente agli utenti di creare documenti composti con elementi provenienti da programmi diversi", ha scritto Davidpur.

Attraverso la manipolazione dei modelli OLE, gli autori delle minacce sfruttano i modelli di documenti per eseguire codice dannoso senza essere rilevati nascondendo il payload all'esterno del documento. Secondo Perceptive Point, la campagna è la prima volta che questo processo è stato utilizzato in un'e-mail per la consegna di NetSupport RAT.

"Questa tecnica avanzata aggira i sistemi di sicurezza tradizionali nascondendo il payload dannoso all'esterno del documento, eseguendo solo l'interazione dell'utente", ha spiegato Davidpur.

Infatti, utilizzando file .doc crittografati per fornire NetSupport RAT tramite modello OLE e template injection (CWE T1221), la campagna PhantomBlu si discosta dalle tattiche, tecniche e procedure convenzionali (TTP) comunemente associate a NetSupport. Distribuzioni RAT.

"Storicamente, tali campagne si sono basate più direttamente su file eseguibili e su tecniche di phishing più semplici", ha scritto Davidpur. Il metodo OLE dimostra l'innovazione della campagna nel fondere "sofisticate tattiche di evasione con l'ingegneria sociale", ha scritto.

Nascondersi dietro la legittimità

Nella loro indagine sulla campagna, i ricercatori di Perception Point hanno analizzato passo dopo passo il metodo di consegna, scoprendo che, come il RAT stesso, il carico utile si nasconde dietro la legittimità nel tentativo di volare sotto il radar.

Nello specifico, Perceptive Point ha analizzato il percorso di ritorno e l'ID del messaggio delle email di phishing, osservando l'utilizzo da parte degli aggressori del simbolo "SendInBlue” o servizio Brevo. Brevo è una piattaforma legittima di consegna di posta elettronica che offre servizi per campagne di marketing.

"Questa scelta sottolinea la preferenza degli aggressori a sfruttare servizi affidabili per mascherare i loro intenti dannosi", ha scritto Davidpur.

Evitare il compromesso

Poiché PhantomBlu utilizza la posta elettronica come metodo per distribuire malware, le tecniche consuete per evitare compromessi, come istruzioni e formazione dei dipendenti su come individuare e segnalare e-mail potenzialmente dannose: applica.

Come regola generale, le persone non dovrebbero mai fare clic sugli allegati di posta elettronica a meno che non provengano da una fonte attendibile o da qualcuno con cui gli utenti corrispondono regolarmente, dicono gli esperti. Inoltre, soprattutto gli utenti aziendali dovrebbero segnalare messaggi sospetti agli amministratori IT, poiché potrebbero indicare segni di una campagna dannosa.

Per assistere ulteriormente gli amministratori nell'identificazione di PhantomBlu, Perceptive Point ha incluso nel post del blog un elenco completo di TTP, indicatori di compromissione (IOC), URL, nomi host e indirizzi IP associati alla campagna.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole