Kẻ tấn công đang áp dụng một phương pháp lừa đảo mới để triển khai trojan truy cập từ xa (RAT) cho những người dùng không cẩn thận và thiếu sự đề phòng. Phương pháp này tận dụng tính năng Object Linking and Embedding (OLE) của Windows để chèn mã độc vào tài liệu Word.
Kẻ tấn công đang thực hiện chiến dịch lừa đảo bằng phần mềm RAT NetSupport thông qua lỗ hổng của Microsoft.
Chiến dịch lừa đảo có tên gọi "Operation PhantomBlu" đã bắt đầu bằng việc gửi email giả mạo từ bộ phận kế toán của công ty đến nạn nhân. Trong email, có đính kèm một tài liệu Word mang tiêu đề “Báo cáo lương hàng tháng”. Khi nạn nhân tải xuống và mở tài liệu này, họ sẽ được yêu cầu nhập mật khẩu. Sau đó, họ sẽ được hướng dẫn nhấp đúp vào biểu tượng máy in được nhúng trong tài liệu.
Việc này sẽ kích hoạt một tệp nén ZIP chứa file rút gọn Windows. Rút gọn này sẽ khởi chạy một trình giải mã PowerShell, từ đó triển khai RAT NetSupport từ một máy chủ từ xa.
Phần mềm RAT NetSupport là một loại phần mềm độc hại cho phép kẻ xâm nhập truy cập và kiểm soát máy tính của nạn nhân từ xa. Chúng có thể sử dụng RAT để lấy cắp thông tin quan trọng, cài đặt thêm phần mềm độc hại hoặc thực hiện các hành vi gây hại khác.
NetSupport RAT là một phiên bản "vũ khí hóa" của NetSupport Manager, một phần mềm điều khiển từ xa hợp pháp được ra mắt lần đầu vào năm 1989. Trong nhiều năm, NetSupport RAT đã trở thành một trong những Trojan truy cập từ xa phổ biến nhất, cho phép kẻ tấn công truy cập vào các thiết bị bị xâm nhập một cách hoàn toàn. Kế đó, chúng có thể sử dụng quyền truy cập đó để triển khai các loại phần mềm độc hại nguy hiểm hơn, bao gồm cả phần mềm đánh cắp thông tin cá nhân (infostealer) và mã hóa tống tiền (ransomware).
Chiến dịch Operation PhantomBlu đã cho thấy sự sáng tạo của tin tặc khi sử dụng các phương pháp lừa đảo tinh vi để lan truyền phần mềm độc hại. Người dùng cần tăng cường cảnh giác và thận trọng khi mở email và tệp đính kèm từ các nguồn không rõ nguồn gốc.
