Cientos de empleados estadounidenses han sido blanco de un nuevo ataque por correo electrónico que utiliza señuelos contables para distribuir documentos maliciosos que implementan una herramienta maliciosa de acceso remoto conocida como NetSupport RAT. Los atacantes utilizan una combinación de técnicas de evasión de detección, incluida la manipulación e inyección de plantillas de incrustación y vinculación de objetos de Office (OLE), así como archivos de acceso directo de Windows con código PowerShell adjunto.
«NetSupport RAT es un derivado del legítimo NetSupport Manager, una aplicación de soporte técnico remoto, que ejemplifica cómo poderosas herramientas de TI pueden ser malversadas para software malicioso», dijeron investigadores de la firma de seguridad Perception Point en su informe. «Una vez instalado en el terminal de una víctima, NetSupport puede monitorear el comportamiento, capturar pulsaciones de teclas (keylogger), transferir archivos, controlar recursos del sistema y moverse a otros dispositivos dentro de la red, todo bajo la apariencia de un software de soporte remoto benigno».
Un cambio en los TTP de phishing
NetSupport RAT se ha utilizado anteriormente en ataques de correo electrónico maliciosos, pero la nueva campaña, que los investigadores denominaron PhantomBlu, emplea tácticas, técnicas y procedimientos (TTP) que son más sofisticados que los vistos en operaciones anteriores. Los correos electrónicos fraudulentos se hacen pasar por un servicio de contabilidad y fueron enviados a cientos de empleados de varias organizaciones con sede en EE. UU. bajo la apariencia de informes salariales mensuales. Los correos electrónicos se enviaron a través de un servicio legítimo de marketing por correo electrónico llamado Brevo para evitar los filtros de spam y contenían documentos .docx protegidos con contraseña.
Al abrir los documentos, se pidió a los usuarios que ingresaran la contraseña incluida en el mensaje de correo electrónico y luego se les presentó un mensaje dentro del documento que decía que el contenido no se puede mostrar porque el documento está protegido. También hay elementos visuales de marca del servicio de contabilidad suplantado y un ícono de impresora en el que se indica a los usuarios que hagan clic después de habilitar el modo de edición en el documento. El icono de la impresora es un botón que utiliza la función OLE de Microsoft Word para iniciar un archivo .zip externo que se supone que es una plantilla de documento. OLE permite que los documentos de Office incorporen referencias y enlaces a documentos u objetos externos.
«Con este paso, la campaña de PhantomBlu aprovecha un TTP llamado manipulación de plantillas OLE (Defense Evasion – T1221), explotando plantillas de documentos para ejecutar código malicioso sin detección», dijeron los investigadores. «Esta técnica avanzada evita las medidas de seguridad tradicionales al ocultar la carga útil fuera del documento y solo se ejecuta tras la interacción del usuario».
El archivo .zip contiene un archivo de acceso directo (LNK) que a su vez contiene código PowerShell ofuscado. El código de PowerShell llega a un servidor controlado por un atacante para descargar un segundo archivo .zip que contiene un archivo llamado Client32.exe, que es el cliente RAT de NetSupport. El servidor solo entregará el archivo .zip si la solicitud proviene de un agente de usuario específico que establece el script de PowerShell. Después de descargar el archivo, extraer su contenido y ejecutar el archivo que contiene, el script también crea una clave de registro para garantizar la persistencia de la RAT.