A Perception Point, uma empresa israelense de segurança cibernética, lançou uma sofisticada campanha de phishing destinada a organizações dos Estados Unidos, implantando um notório trojan de acesso remoto (RAT) conhecido como NetSupport RAT. A operação, batizada de “Operação PhantomBlu,”representa uma mudança significativa no método de entrega do malware, empregando uma técnica de exploração diferenciada que diverge da implantação tradicional mecanismos associados ao NetSupport RAT. De acordo com Ariel Davidpur, pesquisador de segurança da Perception Point, os invasores manipularam OLE (Linking e incorporação de objetos) dentro dos modelos de documentos do Microsoft Office para executar códigos maliciosos, evitando efetivamente a detecção.
Compreendendo o NetSupport RAT e sua implantação
O NetSupport RAT é um malware variante da ferramenta legítima de desktop remoto, NetSupport Manager. Este malware permite que os invasores realizem uma ampla gama de atividades de coleta de dados em terminais infectados. O processo de infecção começa com um e-mail de phishing, disfarçado como uma comunicação do departamento de contabilidade, instando os destinatários a abra um documento Microsoft Word anexado que supostamente contém seu relatório mensal de salários. Ao abrir o documento, as vítimas são solicitadas a inserir uma senha fornecida no e-mail e a ativar a edição, o que leva à execução de um arquivo de atalho do Windows que funciona como um conta-gotas do PowerShell. Esse dropper então recupera e executa o binário NetSupport RAT de um servidor remoto.
Técnicas Inovadoras e Táticas de Evasão
Davidpur destaca a abordagem inovadora adotada pela Operação PhantomBlu , afirmando:”Ao usar.docs criptografados para entregar o NetSupport RAT via modelo OLE e injeção de modelo, o PhantomBlu marca um afastamento dos TTPs convencionais comumente associados às implantações do NetSupport RAT”. Esta técnica atualizada mostra a inovação da operação ao combinar táticas sofisticadas de evasão com engenharia social. Além disso, a campanha utiliza serviços em nuvem como IBM Cloud, Dropbox, Oracle Cloud Storage, GitHub e plataformas de hospedagem de dados Web 3.0 baseadas no protocolo InterPlanetary File System para gerar URLs FUD (totalmente indetectáveis). Esses URLs, protegidos por barreiras antibot, são distribuídos por meio de kits de phishing disponíveis no Telegram mediante o pagamento de uma taxa de assinatura, tornando-os indetectáveis às medidas de segurança tradicionais.
À luz dessas sofisticadas campanhas de phishing, é crucial que indivíduos e organizações tenham cautela ao lidar com e-mails desconhecidos, especialmente aqueles que contêm anexos. A combinação de táticas avançadas de evasão técnica com engenharia social ressalta a natureza evolutiva das ameaças cibernéticas e a necessidade de vigilância contínua e medidas de segurança atualizadas para proteger informações confidenciais.
