Il contagio avviene attraverso un file Word malevolo che appare come un documento NortonLifelock protetto da password

Phishing

Lo scorso mese di gennaio è stato rilevato dai ricercatori di Unit 42 un documento Microsoft Word – all’apparenza un documento NortonLifelock protetto da password – pericoloso, utilizzato in una campagna di phishing per distribuire il RAT (remote access tool) NetSupport Manager.

L’utilizzo di un documento NortonLifelock fittizio per spingere l’utente ad abilitare le macro rende questo attacco di particolare interesse.

Questo RAT viene utilizzato generalmente per scopi legittimi e consente agli amministratori di accedere da remoto ai client. Tuttavia, aggressori malintenzionati stanno installando il RAT sui sistemi delle proprie vittime, per ottenere l’accesso non autorizzato. L’uso inappropriato del RAT di NetSupport Manager è noto nelle campagne di phishing almeno dal 2018.

La prima rilevazione, avvenuta grazie a Cortex XDR Engine, ha evidenziato come la catena di causalità sia iniziata dal momento dell’apertura di un documento Microsoft Word all’interno di Microsoft Office Outlook. I ricercatori non in possesso dell’email vera e propria, ma possono affermare che questa attività sembri far parte di una campagna più ampia.

Questa attività utilizza tecniche di evasione per eludere sia l’analisi dinamica che quella statica e utilizza il framework PowerShell PowerSploit per avviare le attività di file pericolosi. Attraverso ulteriori analisi, sono state identificate azioni correlate che risalgono a inizio novembre 2019.

Tutti i dettagli sulle attività anomale rilevate tramite Cortex XDR sono disponibili a questo link.