Mit <kes>+ lesen

Neuer Phishing-Angriff verbreitet NetSupport RAT

Eine neue Phishing-Kampagne hat es auf US-Organisationen abgesehen, mit dem Ziel, den Remote-Access-Trojaner NetSupport RAT einzuschleusen. Das israelische Cybersicherheitsunternehmen Perception Point ist den Akteuren bereits auf der Spur und nennt deren Vorgehen "Operation PhantomBlu". Die Kriminellen setzen auf einen Trick, der sich auf Microsoft Office stützt, um ihre Schadsoftware zu verbreiten.

Bedrohungen
Lesezeit 2 Min.

Die Sicherheitsexperten von Perception Point haben herausgefunden, dass die PhantomBlu-Operation eine raffinierte Methode nutzt, um den NetSupport RAT zu verbreiten. Anders als der übliche Verbreitungsweg verwendet sie die OLE (Object Linking and Embedding)-Vorlagenmanipulation, um bösartigen Code auszuführen und so die Erkennung zu umgehen.

NetSupport RAT ist eine schädliche Variante eines legitimen Remote-Desktop-Tools namens NetSupport Manager. Mit diesem können Angreifer verschiedene Datenerfassungsaktionen auf einem kompromittierten Endpunkt durchführen.

Die Kampagne beginnt mit einer Phishing-E-Mail, die vorgibt, von der Buchhaltungsabteilung zu stammen und Informationen zum Gehalt enthält. Die Empfänger werden aufgefordert, das angehängte Microsoft Word-Dokument zu öffnen, um den „monatlichen Gehaltsbericht“ zu lesen.

Eine gründliche Analyse der E-Mail-Kopfzeilen, insbesondere der Felder „Return-Path“ und „Message-ID“, zeigt, dass die Angreifer eine legitime E-Mail-Marketingplattform namens Brevo (früher bekannt als Sendinblue) verwenden, um ihre E-Mails zu versenden.

Sobald das Opfer das Word-Dokument öffnet, wird es aufgefordert, ein im E-Mail-Text angegebenes Passwort einzugeben und die Bearbeitung zu aktivieren. Anschließend soll das Opfer auf ein im Dokument eingebettetes Druckersymbol doppelklicken, um das Gehaltsdiagramm anzuzeigen.

Dadurch wird eine ZIP-Archivdatei („Chart20072007.zip“) geöffnet, die eine Windows-Verknüpfungsdatei enthält. Diese Verknüpfung dient als PowerShell-Dropper, der dazu dient, eine NetSupport RAT-Binärdatei von einem Remote-Server herunterzuladen und auszuführen.

Perception Point erklärt, dass die PhantomBlu-Operation einen neuen Ansatz verwendet, indem sie verschlüsselte .doc-Dateien nutzt, um den NetSupport RAT über OLE-Vorlagen und Vorlageninjektion zu verbreiten. Dadurch unterscheidet sie sich von den üblichen Methoden, die normalerweise mit NetSupport RAT-Angriffen in Verbindung gebracht werden. Diese aktualisierte Technik zeigt die Innovationskraft von PhantomBlu, indem sie ausgeklügelte Umgehungstaktiken mit Social Engineering kombiniert.

Cloud-Plattformen und beliebte Content Delivery Networks (CDNs) immer häufiger missbraucht

Resecurity hat entdeckt, dass Angreifer zunehmend öffentliche Cloud-Dienste wie Dropbox, GitHub und IBM Cloud sowie Web 3.0-Datenhosting-Plattformen auf Basis des InterPlanetary File System (IPFS) wie Pinata nutzen, um absolut unauffindbare (FUD) Phishing-URLs zu erstellen. Diese URLs werden dann auf Telegram von Untergrundanbietern wie BulletProofLink und FUDLINKSHOP angeboten, wobei Preise ab 200 US-Dollar pro Monat im Abonnementmodell verlangt werden. Die Links sind hinter Anti-Bot-Sperren gesetzt, um die Erkennung zu vermeiden.

Zusätzlich werden Tools wie HeartSender genutzt, um die FUD-Links in großem Umfang zu verbreiten. Die damit verbundene Telegram-Gruppe hat fast 13.000 Abonnenten.

Resecurity betont, dass FUD-Links eine Innovation im Bereich Phishing-as-a-Service darstellen und dass Angreifer bekannte Infrastrukturen für bösartige Zwecke nutzen. In einer kürzlich durchgeführten Kampagne, die den Rhadamanthys Stealer einsetzte, wurde eine eingebettete URL verwendet, die eine offene Weiterleitung auf legitime Domains wie Google Maps und Google Images ausnutzte. Diese Technik macht bösartige URLs weniger verdächtig und lockt potenzielle Opfer eher in die Falle.

Diesen Beitrag teilen: