Nuevo ataque de phishing utiliza un ingenioso truco de Microsoft Office para desplegar el RAT (Remote Access Trojan) NetSupport

Luis Quiles

marzo 19, 2024

Ingeniería social, Seguridad de email

Una nueva campaña de phishing está dirigida a organizaciones de los Estados Unidos con la intención de desplegar un troyano de acceso remoto llamado NetSupport RAT.

La empresa de ciberseguridad israelí Perception Point está rastreando la actividad bajo el nombre de Operación PhantomBlu.

«La operación PhantomBlu introduce un método de explotación matizado, divergiendo del mecanismo de entrega típico de NetSupport RAT al aprovechar la manipulación de plantillas OLE (Object Linking and Embedding), explotando plantillas de documentos de Microsoft Office para ejecutar código malicioso mientras evade la detección», dijo el investigador de seguridad Ariel Davidpur.

NetSupport RAT es una derivación maliciosa de una herramienta legítima de escritorio remoto conocida como NetSupport Manager, que permite a los actores de amenazas llevar a cabo una variedad de acciones de recopilación de datos en un punto final comprometido.

El punto de partida es un correo electrónico de phishing con temática salarial que pretende ser del departamento de contabilidad y urge a los destinatarios a abrir el documento adjunto de Microsoft Word para ver el «informe salarial mensual».

Un análisis más detallado de los encabezados del mensaje de correo electrónico, especialmente los campos de Return-Path y Message-ID, muestra que los atacantes utilizan una plataforma legítima de marketing por correo electrónico llamada Brevo (anteriormente Sendinblue) para enviar los correos electrónicos.

El documento de Word, al abrirse, instruye a la víctima a ingresar una contraseña proporcionada en el cuerpo del correo electrónico y habilitar la edición, seguido de hacer doble clic en un icono de impresora incrustado en el documento para ver el gráfico salarial.

Al hacerlo, se abre un archivo ZIP («Chart20072007.zip») que contiene un archivo de acceso directo de Windows, que funciona como un dropper de PowerShell para recuperar y ejecutar un binario de NetSupport RAT desde un servidor remoto.

Al utilizar documentos .docs cifrados para entregar el NetSupport RAT a través de plantillas OLE e inyección de plantillas, PhantomBlu marca una ruptura con las TTP (Tácticas, Técnicas y Procedimientos) convencionales comúnmente asociadas con los despliegues de NetSupport RAT,» dijo Davidpur, agregando que la técnica actualizada «muestra la innovación de PhantomBlu al combinar tácticas de evasión sofisticadas con ingeniería social.»

Crece el abuso de plataformas en la nube y CDNs populares.

Este desarrollo surge a medida que Resecurity revela que los actores de amenazas están abusando cada vez más de servicios en la nube pública como Dropbox, GitHub, IBM Cloud y Oracle Cloud Storage, así como plataformas de alojamiento de datos de Web 3.0 construidas sobre el protocolo del Sistema de Archivos Interplanetario (IPFS) como Pinata, para generar URLs de phishing completamente indetectables (FUD, por sus siglas en inglés) utilizando kits disponibles en el mercado.

Tales enlaces FUD se ofrecen en Telegram por parte de vendedores clandestinos como BulletProofLink, FUDLINKSHOP, FUDSENDER, ONNX y XPLOITRVERIFIER por precios que comienzan en $200 por mes como parte de un modelo de suscripción. Estos enlaces están además protegidos detrás de barreras antibot para filtrar el tráfico entrante y evadir la detección.

También complementando estos servicios están herramientas como HeartSender que hacen posible distribuir los enlaces FUD generados a gran escala. El grupo de Telegram asociado con HeartSender tiene casi 13,000 suscriptores.

«Los enlaces FUD representan el siguiente paso en la innovación de [phishing como servicio] y despliegue de malware,» dijo la compañía, señalando que los atacantes están «reutilizando infraestructura de alta reputación para casos de uso malicioso.»

«Una campaña maliciosa reciente, que utilizó el ladrón Rhadamanthys para atacar al sector de petróleo y gas, utilizó un URL incrustado que explotó una redirección abierta en dominios legítimos, principalmente Google Maps y Google Images. Esta técnica de anidamiento de dominios hace que los URL maliciosos sean menos perceptibles y más propensos a atrapar víctimas.»

Tags :