Les cybercriminels derrière une récente campagne de phishing ont utilisé un faux document Norton LifeLock afin d'inciter les victimes à installer un cheval de Troie d'accès à distance (RAT) sur leurs systèmes.
L'infection commence par un document Microsoft Word contenant des macros malveillantes. Cependant, pour obliger les utilisateurs à activer les macros, qui sont désactivées par défaut, l'acteur de menace derrière la campagne a utilisé un faux document Norton LifeLock protégé par mot de passe.
Les victimes sont invitées à activer les macros et à saisir un mot de passe, fourni dans l'e-mail de phishing contenant le document, pour y accéder. Palo Alto Networks » L'unité 42, qui a découvert la campagne, a également constaté que la boîte de dialogue de mot de passe n'accepte qu'une lettre supérieure ou minuscule «C». Si le mot de passe est incorrect, l'action malveillante ne se poursuit pas.
Si l'utilisateur saisit le mot de passe correct, la macro continue de s'exécuter et crée une chaîne de commande qui installe le logiciel de contrôle à distance légitime, NetSupport Manager.
Sommaire
Établir la persistance
Le fichier binaire RAT est téléchargé et installé sur la machine d'un utilisateur à l'aide de la commande «msiexec» du service Windows Installer.
Dans un nouveau rapport, les chercheurs de l'unité 42 de Palo Alto Networks ont expliqué que la charge utile MSI s'installe sans aucun avertissement et ajoute un script PowerShell dans le dossier temporaire de Windows. Il est utilisé pour la persistance et le script joue le rôle d'une solution de sauvegarde pour l'installation de NetSupport Manager.
Avant de poursuivre ses opérations, le script vérifie si un antivirus Avast ou AVG est installé sur le système. Si tel est le cas, il cesse de fonctionner sur l'ordinateur de la victime. Si le script constate que ces programmes ne sont pas présents sur la machine, il ajoute les fichiers nécessaires b NetSupport Manager à un dossier avec un nom aléatoire et crée également une clé de registre pour l'exécutable principal nommé 'presentationhost.exe' pour la persistance.
L'unité 42 a découvert la campagne pour la première fois début janvier et les chercheurs ont suivi l'activité connexe jusqu'en novembre 2019, ce qui montre que la campagne fait partie d'une opération plus vaste.
Via BleepingComputer