Een nieuwe phishing-campagne richt zich op Amerikaanse organisaties met de bedoeling een trojan voor externe toegang in te zetten, genaamd NetSupport RAT.
Het Israëlische cyberbeveiligingsbedrijf Perception Point volgt de activiteit onder de naam Operatie PhantomBlu.
“De PhantomBlu-operatie introduceert een genuanceerde exploitatiemethode, die afwijkt van het typische leveringsmechanisme van NetSupport RAT door gebruik te maken van OLE-sjabloonmanipulatie (Object Linking and Embedding), waarbij gebruik wordt gemaakt van Microsoft Office-documentsjablonen om kwaadaardige code uit te voeren terwijl detectie wordt omzeild”, aldus beveiligingsonderzoeker Ariel Davidpur.
NetSupport RAT is een kwaadaardige uitloper van een legitieme tool voor externe desktops, bekend als NetSupport Manager, waarmee bedreigingsactoren een spectrum aan gegevensverzamelingsacties kunnen uitvoeren op een gecompromitteerd eindpunt.
Het startpunt is een phishing-e-mail met een salaristhema die beweert afkomstig te zijn van de boekhoudafdeling en de ontvangers aanspoort het bijgevoegde Microsoft Word-document te openen om het ‘maandelijkse salarisrapport’ te bekijken.
Uit een nadere analyse van de headers van e-mailberichten – met name de velden Return-Path en Message-ID – blijkt dat de aanvallers een legitiem e-mailmarketingplatform gebruiken genaamd Brevo (voorheen Sendinblue) om de e-mails te verzenden.
Het Word-document instrueert het slachtoffer bij het openen een wachtwoord in te voeren dat in de hoofdtekst van de e-mail staat en het bewerken in te schakelen, gevolgd door te dubbelklikken op een printerpictogram dat in het document is ingebed om de salarisgrafiek te bekijken.
Als u dit doet, wordt een ZIP-archiefbestand (“Chart20072007.zip”) geopend met daarin één Windows-snelkoppelingsbestand, dat functioneert als een PowerShell-dropper om een binair NetSupport RAT-bestand op te halen en uit te voeren vanaf een externe server.
“Door gecodeerde .docs te gebruiken om de NetSupport RAT via OLE-sjabloon en sjablooninjectie te leveren, markeert PhantomBlu een afwijking van de conventionele TTP’s die gewoonlijk worden geassocieerd met NetSupport RAT-implementaties”, aldus Davidpur, terwijl hij de bijgewerkte techniek toevoegt “demonstreert PhantomBlu’s innovatie in het combineren van geavanceerde ontwijkingstactieken met sociale engineering.”
Toenemend misbruik van cloudplatforms en populaire CDN’s
De ontwikkeling komt nadat Resecurity onthulde dat bedreigingsactoren steeds vaker misbruik maken van openbare clouddiensten zoals Dropbox, GitHub, IBM Cloud en Oracle Cloud Storage, evenals van Web 3.0-datahostingplatforms die zijn gebouwd op het InterPlanetary File System (IPFS)-protocol, zoals Pinata. om volledig niet-detecteerbare (FUD) phishing-URL’s te genereren met behulp van phishing-kits.
Dergelijke FUD-links worden op Telegram aangeboden door ondergrondse leveranciers zoals BulletProofLink, FUDLINKSHOP, FUDSENDER, ONNX en XPLOITRVERIFIER voor prijzen vanaf $ 200 per maand als onderdeel van een abonnementsmodel. Deze verbindingen zijn verder beveiligd achter antibotbarrières om inkomend verkeer te filteren en detectie te omzeilen.
Deze diensten worden ook aangevuld met tools zoals HeartSender, die het mogelijk maken de gegenereerde FUD-links op grote schaal te distribueren. De Telegram-groep geassocieerd met HeartSender heeft bijna 13.000 abonnees.
“FUD Links vertegenwoordigen de volgende stap in [phishing-as-a-service] en innovatie op het gebied van de implementatie van malware’, aldus het bedrijf, en merkt op dat aanvallers ‘infrastructuur met een hoge reputatie herbestemmen voor kwaadaardige gebruiksscenario’s’.
“Eén recente kwaadaardige campagne, waarbij de Rhadamanthys Stealer werd ingezet om de olie- en gassector te targeten, maakte gebruik van een ingebedde URL die misbruik maakte van een open omleiding op legitieme domeinen, voornamelijk Google Maps en Google Images. Deze techniek voor het nesten van domeinen maakt kwaadaardige URL’s minder opvallend en het is waarschijnlijker dat slachtoffers in de val worden gelokt.”
