I criminal hacker hanno avviato una nuova campagna di phishing per distribuire il tool NetSupport Manager da usare per garantirsi l’accesso non autorizzato ai computer delle proprie vittime.
Il NetSupport Manager è uno strumento RAT (Remote Administration Tool) che viene generalmente utilizzato per scopi legittimi e consente agli amministratori di rete di prestare assistenza con un accesso remoto ai computer client.
Tuttavia, il team Cortex XDR Managed Threat Hunting ha rilevato un uso improprio da parte di operatori malintenzionati di questo utile e importante tool di amministrazione da remoto, identificando delle attività sospette già dai primi di novembre del 2019 fino allo scorso mese di gennaio.
Le vittime della nuova campagna di phishing vengono invogliate ad abilitare le macro di un file Microsoft Word fittizio, mascherato come un documento ufficiale NortonLifelock, che in realtà installa il NetSupport Manager sul sistema, consentendo così agli aggressori un accesso non autorizzato al sistema delle vittime stesse.
Anteprima del documento fittizio NortonLifeLock usato nella campagna di phishing che sta distribuendo il RAT del NerSupport Manager.
Indice degli argomenti
Phishing del NetSupport Manager: l’iter di attacco
Sebbene non dispongano di una e-mail campione, i ricercatori di sicurezza ritengono che il phishing sia stata la tecnica di diffusione con molta probabilità adottata, anche alla luce di campagne simili già registrate nel 2018. Ecco l’iter di attacco.
Il tutto ha inizio, come al solito, con l’invio tramite e-mail di un allegato in formato .doc il quale riporta di contenere informazioni importanti che possono essere visualizzate tramite una password (molto probabilmente indicata nel corpo del messaggio di posta elettronica).
Poiché il documento Word è una riproduzione fedele di una comunicazione NortonLifelock, il noto servizio premium offerto da Norton per la protezione dei dispositivi, dell’identità digitale e della privacy online, la vittima potrebbe essere indotta ad eseguire le istruzioni in esso contenute, abilitando così l’esecuzione delle macro.
Solo in questo caso, infatti, dopo aver immesso la password corretta, ha inizio la catena dei processi che dopo la creazione di alcune stringhe di comando si concluderà con l’installazione definitiva del NetSupport Manager e l’invio della geolocalizzazione del computer vittima al server in ascolto (geo[.]netsupportsoftware[.]com).
Stringe di comando iniziali dell’iter di attacco con il RAT NetSupport Manager.
Queste stringhe, offuscate mediante codice VBA (Visual Basic for Applications), eseguono dei comandi per:
- avviare la shell di Windows con il comando cmd.exe (con il parametro /c, per eseguire il comando e uscire dalla shell);
- costruire un file denominato alpaca.bat nella directory %temp%;
- eseguire il file .bat appena creato per l’installazione di un binario MSIL (Microsoft Intermediate Language) scaricato dall’URL quickwaysignstx[.]com/view.php che, secondo i ricercatori, punta ad un dominio legittimo ma compromesso.
Ecco la pagina del sito Web compromesso da cui viene scaricato il file .bat malevolo.
Conclusioni
Come di consueto, per attenuare il rischio per ogni tipo di violazione privacy o d’infezione da malware si raccomanda:
- di prestare attenzione alle e-mail che si ricevono, evitando di aprire allegati con superficialità e verificando l’identità del mittente;
- di disattivare l’esecuzione delle macro come impostazione predefinita nelle applicazioni della suite Microsoft Office;
- di utilizzare un software antivirus aggiornandolo periodicamente.
