Los ciberdelincuentes detrás de una reciente campaña de phishing utilizaron un documento falso Norton LifeLock para engañar a las víctimas para que instalen un troyano de acceso remoto (RAT) en sus sistemas.
La infección comienza con un documento de Microsoft Word que contiene macros maliciosas. Sin embargo, para obligar a los usuarios a habilitar macros, que están deshabilitadas de manera predeterminada, el actor de la amenaza detrás de la campaña usó un documento falso Norton LifeLock protegido con contraseña.
Se les pide a las víctimas que activen macros e ingresen una contraseña, provista en el correo electrónico de phishing que contiene el documento, para acceder a ellas. La unidad 42 de Palo Alto Networks, que descubrió la campaña, también descubrió que el diálogo de contraseña solo acepta una letra "C" inferior o superior. Si la contraseña es incorrecta, la acción maliciosa no continúa.
Si el usuario ingresa la contraseña correcta, la macro continúa ejecutándose y crea una cadena de comando que instala el software legítimo de control remoto, NetSupport Manager.
Establecer persistencia
El archivo binario RAT se descarga e instala en la máquina de un usuario utilizando el comando "msiexec" del servicio de Windows Installer.
En un nuevo informe, los investigadores de la Unidad 42 de Palo Alto Networks explicaron que la carga útil de MSI se instala sin ninguna advertencia y agrega un script de PowerShell a la carpeta temporal de Windows. Se utiliza para la persistencia y el script actúa como una solución de respaldo para la instalación de NetSupport Manager.
Antes de continuar con sus operaciones, el script verifica si un antivirus Avast o AVG está instalado en el sistema. Si este es el caso, deja de funcionar en la computadora de la víctima. Si el script encuentra que estos programas no están presentes en la máquina, agrega los archivos b NetSupport Manager necesarios a una carpeta con un nombre aleatorio y también crea una clave de registro para el ejecutable principal llamado & # 39; presentationhost .exe & # 39; por persistencia.
La Unidad 42 descubrió la campaña por primera vez a principios de enero y los investigadores siguieron la actividad relacionada hasta noviembre de 2019, lo que demuestra que la campaña es parte de una operación más grande de ancho.
Vía BleepingComputer