'PhantomBlu' ciberataques backdoor usuários do Microsoft Office via OLE

Uma campanha de e-mail maliciosa tem como alvo centenas de usuários do Microsoft Office em organizações sediadas nos EUA para entregar um trojan de acesso remoto (RAT) que evita a detecção, parcialmente aparecendo como software legítimo.

Numa campanha apelidada de “PhantomBlu” pelos investigadores da Perception Point, os atacantes personificam um serviço de contabilidade em mensagens de e-mail que convidam as pessoas a descarregarem um ficheiro do Microsoft Office Word, supostamente para visualizarem o seu “relatório mensal de salários”. Os alvos recebem instruções detalhadas para acessar o arquivo de “relatório” protegido por senha, que em última análise entrega o notório RATO do NetSupport, o malware foi derivado do legítimo NetSupport Manager, uma ferramenta de suporte técnico remoto legitimamente útil. Os atores da ameaça já usaram o RAT para localizar sistemas antes de entregar ransomware a eles.

“Projetado para vigilância e controle furtivos, ele transforma a administração remota em uma plataforma para ataques cibernéticos e roubo de dados”, disse Ariel Davidpur, especialista em segurança da Web da Perception Point. revelou em uma postagem de blog publicada esta semana.

Uma vez instalado no endpoint da vítima, o NetSupport pode monitorar o comportamento, capturar pressionamentos de teclas, transferir arquivos, assumir o controle de recursos do sistema e migrar para outros dispositivos na rede, “tudo sob o disfarce de um software de suporte remoto benigno”, escreveu ele.

Método evasivo de entrega OLE do NetSupport RAT

A campanha representa um novo método de entrega para o NetSupport RAT através da manipulação de modelos de vinculação e incorporação de objetos (OLE). É um “método de exploração diferenciado” que usa modelos legítimos de documentos do Microsoft Office para executar código malicioso enquanto evita a detecção, escreveu Davidpur. 

Se um usuário baixar o arquivo.docx anexado às mensagens da campanha e usar a senha que o acompanha para acessá-lo, o conteúdo do documento instrui ainda os alvos a clicarem em “ativar edição” e, em seguida, clicarem na imagem de uma impressora incorporada no documento em para visualizar seu “gráfico salarial”.

A imagem da impressora é na verdade um pacote OLE, um recurso legítimo do Microsoft Windows que permite incorporar e vincular documentos e outros objetos. “Seu uso legítimo permite que os usuários criem documentos compostos com elementos de diferentes programas”, escreveu Davidpur.

Por meio da manipulação de modelos OLE, os agentes da ameaça exploram modelos de documentos para executar códigos maliciosos sem detecção, ocultando a carga fora do documento. A campanha é a primeira vez que esse processo é usado em um e-mail para entrega do NetSupport RAT, segundo a Perceptive Point.

“Essa técnica avançada contorna os sistemas de segurança tradicionais, ocultando a carga maliciosa fora do documento, executando apenas mediante interação do usuário”, explicou Davidpur.

Na verdade, ao usar arquivos .doc criptografados para entregar o NetSupport RAT via modelo OLE e injeção de modelo (CWE T1221), a campanha PhantomBlu se afasta das táticas, técnicas e procedimentos convencionais (TTPs) comumente associados ao NetSupport. Implantações de RAT.

“Historicamente, essas campanhas dependiam mais diretamente de arquivos executáveis ​​e de técnicas de phishing mais simples”, escreveu Davidpur. O método OLE demonstra a inovação da campanha ao combinar “táticas de evasão sofisticadas com engenharia social”, escreveu ele.

Escondendo-se atrás da legitimidade

Na investigação da campanha, os pesquisadores do Perception Point dissecaram o método de entrega passo a passo, descobrindo que, como o próprio RAT, a carga útil se esconde atrás da legitimidade em um esforço para voar sob o radar.

Especificamente, a Perceptive Point analisou o caminho de retorno e o ID da mensagem dos e-mails de phishing, observando o uso do “SendInBlue”Ou serviço Brevo. Brevo é uma plataforma legítima de entrega de e-mail que oferece serviços para campanhas de marketing.

“Essa escolha ressalta a preferência dos invasores em aproveitar serviços confiáveis ​​para mascarar suas intenções maliciosas”, escreveu Davidpur.

Evitando Compromisso

Como o PhantomBlu usa e-mail como método para entregar malware, as técnicas usuais para evitar comprometimento — como instruir e treinamento de funcionários sobre como detectar e denunciar e-mails potencialmente maliciosos – inscreva-se.

Como regra geral, as pessoas nunca devem clicar em anexos de e-mail, a menos que venham de uma fonte confiável ou de alguém com quem os usuários se correspondam regularmente, dizem os especialistas. Além disso, especialmente os usuários corporativos devem relatar mensagens suspeitas aos administradores de TI, pois podem indicar sinais de uma campanha maliciosa.

Para ajudar ainda mais os administradores na identificação do PhantomBlu, o Perceptive Point incluiu uma lista abrangente de TTPs, indicadores de comprometimento (IOCs), URLs e nomes de host e endereços IP associados à campanha na postagem do blog.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole