Meta descriptions (in Vietnamese): Một chiến dịch lừa đảo mới đang nhắm mục tiêu vào các tổ chức Hoa Kỳ với ý định triển khai một trojan truy cập từ xa có tên NetSupport RAT. Chiến dịch này khai thác các mẫu tài liệu Microsoft Office để thực thi mã độc hại trong khi tránh bị phát hiện.
- Công ty an ninh mạng Perception Point của Israel đang theo dõi hoạt động lừa đảo mới dưới tên gọi Operation PhantomBlu, nhắm mục tiêu vào các tổ chức Hoa Kỳ.
- Chiến dịch sử dụng email lừa đảo với chủ đề lương, yêu cầu người nhận mở tài liệu Microsoft Word đính kèm để xem "báo cáo lương hàng tháng".
- Phân tích kỹ lưỡng các trường tiêu đề email cho thấy kẻ tấn công sử dụng nền tảng email marketing hợp pháp Brevo để gửi email.
- Tài liệu Word yêu cầu nạn nhân nhập mật khẩu được cung cấp trong nội dung email và bật chỉnh sửa, sau đó nhấp đúp vào biểu tượng máy in để xem biểu đồ lương.
- Thao tác này mở một tệp lưu trữ ZIP chứa một tệp lối tắt Windows, hoạt động như một dropper PowerShell để truy xuất và thực thi mã độc NetSupport RAT từ máy chủ từ xa.
- NetSupport RAT là một biến thể độc hại của công cụ truy cập từ xa hợp pháp NetSupport Manager, cho phép kẻ tấn công thực hiện nhiều hành động thu thập dữ liệu trên thiết bị bị xâm nhập.
- Chiến dịch PhantomBlu đánh dấu sự thay đổi so với các kỹ thuật triển khai NetSupport RAT thông thường bằng cách khai thác thao tác mẫu OLE và tiêm mẫu trong tài liệu Microsoft Office để tránh bị phát hiện.
- Các nhà nghiên cứu cũng tiết lộ xu hướng lạm dụng ngày càng tăng các dịch vụ đám mây công cộng và các nền tảng lưu trữ dữ liệu Web 3.0 để tạo ra các URL lừa đảo hoàn toàn không thể phát hiện (FUD) bằng các bộ công cụ sẵn có.
- Các liên kết FUD này được cung cấp trên Telegram bởi các nhà cung cấp ngầm với giá bắt đầu từ 200 đô la mỗi tháng như một phần của mô hình đăng ký.
📌 Chiến dịch lừa đảo PhantomBlu sử dụng kỹ thuật tinh vi khai thác mẫu Microsoft Office để triển khai trojan NetSupport RAT, đánh dấu sự đổi mới trong việc kết hợp các chiến thuật lẩn tránh với kỹ thuật lừa đảo qua email. Xu hướng lạm dụng các dịch vụ đám mây và nền tảng lưu trữ Web 3.0 để tạo ra các liên kết lừa đảo FUD cũng đang gia tăng, với giá từ 200 USD/tháng trên Telegram.
https://thehackernews.com/2024/03/new-phishing-attack-uses-clever.html