Penjahat dunia maya di balik kampanye phishing baru-baru ini menggunakan dokumen Norton LifeLock palsu untuk mengelabui korban agar memasang trojan akses jarak jauh (RAT) di sistem mereka.
Infeksi dimulai dengan dokumen Microsoft Word yang berisi makro berbahaya. Namun, untuk membuat pengguna mengaktifkan makro, yang dinonaktifkan secara default, aktor ancaman di balik kampanye menggunakan dokumen Norton LifeLock palsu yang dilindungi kata sandi.
Korban diminta untuk mengaktifkan makro dan mengetikkan kata sandi, yang diberikan dalam email phishing yang berisi dokumen tersebut, untuk mendapatkan akses ke sana. Unit 42 Jaringan Palo Alto, yang menemukan kampanye, juga menemukan bahwa kotak dialog kata sandi hanya menerima huruf besar atau kecil ‘C’. Jika kata sandi salah, tindakan jahat tidak akan berlanjut.
Jika pengguna memasukkan kata sandi yang benar, makro terus mengeksekusi dan membuat string perintah yang menginstal perangkat lunak kendali jarak jauh yang sah, NetSupport Manager.
Membangun ketekunan
Biner RAT diunduh dan diinstal ke mesin pengguna dengan bantuan dari perintah ‘msiexec’ di layanan Windows Installer.
Dalam laporan baru (terbuka di tab baru), para peneliti di Palo Alto Networks ‘Unit 42 menjelaskan bahwa muatan MSI menginstal tanpa peringatan apa pun dan menambahkan skrip PowerShell di folder temp Windows. Ini digunakan untuk kegigihan dan skrip berperan sebagai solusi cadangan untuk menginstal NetSupport Manager.
Sebelum skrip melanjutkan operasinya, skrip akan memeriksa apakah antivirus dari Avast atau AVG diinstal pada sistem. Jika demikian, program berhenti berjalan di komputer korban. Jika skrip menemukan bahwa program ini tidak ada di mesin, ia menambahkan file yang diperlukan b NetSupport Manager ke folder dengan nama acak dan juga membuat kunci registri untuk eksekusi utama bernama ‘presentationhost.exe’ untuk kegigihan.
Unit 42 pertama kali menemukan kampanye tersebut pada awal Januari dan para peneliti melacak aktivitas terkait hingga November 2019 yang menunjukkan bahwa kampanye tersebut merupakan bagian dari operasi yang lebih besar.
Melalui Komputer Bleeping (terbuka di tab baru)