Počítačoví zločinci, ktorí stoja za nedávnou kampaňou neoprávneného získavania údajov, použili falošný dokument Norton LifeLock, aby prinútili obete, aby do svojich systémov nainštalovali trojan pre vzdialený prístup (RAT).
Infekcia začína dokumentom programu Microsoft Word, ktorý obsahuje škodlivé makrá. Aby však používatelia mohli povoliť makra, ktoré sú v predvolenom nastavení zakázané, použil aktér hrozby za kampaň falošný dokument Norton LifeLock chránený heslom.
Obete sa vyzývajú, aby umožnili prístup k makrom a napísali heslo uvedené v e-maile na neoprávnené získavanie údajov, ktoré obsahuje dokument. Palo Alto Networks & apos; Jednotka 42, ktorá kampaň objavila, tiež zistila, že dialógové okno pre heslo akceptuje iba veľké alebo malé písmeno "C". Ak je heslo nesprávne, škodlivá akcia nebude pokračovať.
- Hostiteľ Shark Tank sa stáva obeťou phishingového podvodu
- Škodlivé súbory obchádzajúce produkty zabezpečenia e-mailu
- Spoločnosť Microsoft detekuje nové útoky škodlivého softvéru spoločnosti Evil Corp
Ak používateľ zadá správne heslo, makro pokračuje vo vykonávaní a vytvára príkazový reťazec, ktorý inštaluje legitímny softvér diaľkového ovládania NetSupport Manager.
Stanovenie perzistencie
RAT binárny súbor sa stiahne a nainštaluje do užívateľského počítača pomocou programu msiexec. príkaz v Windows Inštalovať službu.
V novej správe vedci z Palo Alto Networks & quot; Jednotka 42 vysvetlila, že užitočné zaťaženie MSI sa inštaluje bez akýchkoľvek upozornení a do skriptu pridá skript PowerShell Windows dočasný priečinok. Používa sa na vytrvalosť a skript hrá úlohu záložného riešenia pre inštaláciu NetSupport Manager.
Predtým, ako skript pokračuje vo svojej činnosti, skontroluje, či je v systéme nainštalovaný antivírusový program Avast alebo AVG. Ak je to tak, zastaví sa na počítači obete. Ak skript zistí, že tieto programy nie sú prítomné v počítači, pridá potrebné súbory b NetSupport Manager do priečinka s náhodným názvom a vytvorí tiež kľúč databázy Registry pre hlavný spustiteľný súbor s názvom 'presentationhost.exe'. za vytrvalosť.
Jednotka 42 prvýkrát objavila kampaň začiatkom januára a vedci sledovali súvisiacu činnosť späť do novembra 2019, čo ukazuje, že kampaň je súčasťou väčšej operácie.
- Chráňte svoje zariadenia najlepším antivírusovým softvérom
Cez BleepingComputer
