Serangan Phishing Baru Menggunakan Trik Microsoft Office yang Cerdas untuk Menyebarkan NetSupport RAT
BICARAINI.COM Kampanye phishing baru menargetkan organisasi-organisasi AS dengan tujuan menyebarkan trojan akses jarak jauh yang disebut NetSupport RAT.
Perusahaan keamanan siber Israel, Perception Point, melacak aktivitas tersebut dengan nama Operation PhantomBlu .
“Operasi PhantomBlu memperkenalkan metode eksploitasi yang berbeda, menyimpang dari mekanisme pengiriman khas NetSupport RAT dengan memanfaatkan manipulasi templat OLE (Object Linking and Embedding), mengeksploitasi templat dokumen Microsoft Office untuk mengeksekusi kode berbahaya sambil menghindari deteksi,” kata peneliti keamanan Ariel Davidpur .
NetSupport RAT adalah cabang berbahaya dari alat desktop jarak jauh sah yang dikenal sebagai NetSupport Manager, yang memungkinkan pelaku ancaman melakukan serangkaian tindakan pengumpulan data pada titik akhir yang disusupi.
Titik awalnya adalah email phishing bertema Gaji yang mengaku berasal dari departemen akuntansi dan mendesak penerima untuk membuka dokumen Microsoft Word terlampir untuk melihat “laporan gaji bulanan”.
Analisis lebih dekat terhadap header pesan email – khususnya bidang Return-Path dan Message-ID – menunjukkan bahwa penyerang menggunakan platform pemasaran email sah yang disebut Brevo (sebelumnya Sendinblue) untuk mengirim email.
Dokumen Word, saat dibuka, memerintahkan korban untuk memasukkan kata sandi yang diberikan di badan email dan mengaktifkan pengeditan, diikuti dengan mengklik dua kali ikon printer yang tertanam di dokumen untuk melihat grafik gaji.
Melakukannya akan membuka file arsip ZIP (“Chart20072007.zip”) yang berisi satu file pintasan Windows, yang berfungsi sebagai dropper PowerShell untuk mengambil dan mengeksekusi biner NetSupport RAT dari server jarak jauh.
“Dengan menggunakan .docs terenkripsi untuk mengirimkan NetSupport RAT melalui templat OLE dan injeksi templat, PhantomBlu menandai penyimpangan dari TTP konvensional yang umumnya dikaitkan dengan penerapan NetSupport RAT,” kata Davidpur, menambahkan teknik yang diperbarui “menunjukkan inovasi PhantomBlu dalam memadukan taktik penghindaran yang canggih dengan rekayasa sosial.”
Meningkatnya Penyalahgunaan Platform Cloud dan CDN Populer#
Perkembangan ini terjadi ketika Resecurity mengungkapkan bahwa pelaku ancaman semakin banyak menyalahgunakan layanan cloud publik seperti Dropbox, GitHub, IBM Cloud, dan Oracle Cloud Storage, serta platform hosting data Web 3.0 yang dibangun di atas protokol InterPlanetary File System (IPFS) seperti Pinata. untuk menghasilkan URL phishing yang sepenuhnya tidak terdeteksi (FUD) menggunakan kit phishing.
Tautan FUD tersebut ditawarkan di Telegram oleh vendor bawah tanah seperti BulletProofLink , FUDLINKSHOP, FUDSANDER, ONNX, dan XPLOITRVERIFIER dengan harga mulai dari $200 per bulan sebagai bagian dari model berlangganan. Tautan ini selanjutnya diamankan di balik penghalang antibot untuk menyaring lalu lintas masuk dan menghindari deteksi.
Yang juga melengkapi layanan ini adalah alat seperti HeartSender yang memungkinkan untuk mendistribusikan tautan FUD yang dihasilkan dalam skala besar. Grup Telegram yang terkait dengan HeartSender memiliki hampir 13.000 pelanggan.
“FUD Links mewakili langkah selanjutnya dalam [phishing-as-a-service] dan inovasi penerapan malware,” kata perusahaan tersebut , seraya mencatat bahwa para penyerang “menggunakan kembali infrastruktur bereputasi tinggi untuk kasus penggunaan yang berbahaya.”
“Salah satu kampanye jahat baru-baru ini, yang memanfaatkan Rhadamanthys Stealer untuk menargetkan sektor minyak dan gas, menggunakan URL tersemat yang mengeksploitasi pengalihan terbuka pada domain yang sah, terutama Google Maps dan Google Images. Teknik penyarangan domain ini membuat URL jahat kurang terlihat dan lebih mungkin untuk menjebak korban.”
