Microsoft avertit les utilisateurs d'une vaste campagne de phishing sur le thème de Covid-19 qui installe l'outil d'administration à distance de NetSupport Manager pour reprendre complètement le système d'un utilisateur et même exécuter des commandes à distance.
L'équipe Microsoft Security Intelligence a fourni des détails supplémentaires sur cette campagne en cours dans un série de tweets dans lequel il a déclaré que les cybercriminels utilisent des pièces jointes Excel malveillantes pour infecter les appareils des utilisateurs avec un cheval de Troie d'accès à distance (RAT).
L'attaque commence avec des victimes potentielles recevant un e-mail qui usurpe l'identité du John Hopkins Center. Ce courriel prétend fournir aux victimes une mise à jour sur le nombre de décès liés aux coronavirus aux États-Unis. Cependant, attaché à l'e-mail est un fichier Excel qui affiche un graphique montrant le nombre de décès aux États-Unis.
Lorsqu'un utilisateur ouvre le fichier Excel, il l'invite à « Activer le contenu '' et, ce faisant, exécute le fichier macros malveillantes qui téléchargent et installent le client NetSupport Manager à partir d'un site distant.
Sommaire
Campagne de phishing sur le thème de Covid-19
Dans un tweeter, l'équipe Microsoft Security Intelligence a expliqué que tous les différents fichiers Excel utilisés dans la campagne se connectent tous à la même URL, en disant:
«Les centaines de fichiers Excel uniques de cette campagne utilisent des formules hautement obscurcies, mais tous se connectent à la même URL pour télécharger la charge utile. NetSupport Manager est connu pour être utilisé abusivement par des attaquants afin d'accéder à distance et d'exécuter des commandes sur des machines compromises. »
Bien que NetSupport Manager soit en fait un outil d'administration à distance légitime, il est généralement distribué parmi les communautés de piratage qui l'utilisent comme RAT. Une fois qu'un utilisateur installe inconsciemment NetSupport Manager sur son ordinateur, il permet aux pirates de prendre le contrôle complet de la machine infectée et d'exécuter des commandes à distance. Le RAT NetSupport Manager est ensuite utilisé pour compromettre davantage l'ordinateur d'une victime en installant des outils et des scripts supplémentaires.
Ceux qui ont été victimes de cette campagne de phishing doivent supposer que leurs données ont été compromises et que les pirates ont tenté de voler leurs mots de passe. Une fois le périphérique infecté nettoyé, les utilisateurs doivent modifier tous leurs mots de passe ainsi que ceux appartenant à d'autres ordinateurs de leur réseau.
Via BleepingComputer
