Uma nova campanha de phishing está visando organizações nos EUA com o objetivo de implantar um trojan de acesso remoto chamado NetSupport RAT.

“A operação PhantomBlu introduz um método de exploração matizado, divergindo do mecanismo de entrega típico do NetSupport RAT ao aproveitar a manipulação de template OLE (Object Linking and Embedding), explorando modelos de documentos do Microsoft Office para executar código malicioso enquanto evita a detecção”, disse o pesquisador de segurança Ariel Davidpur.

O NetSupport RAT é um desdobramento malicioso de uma ferramenta legítima de desktop remoto conhecida como NetSupport Manager, permitindo que atores de ameaças realizem uma série de ações de coleta de dados em um endpoint comprometido. O ponto de partida é um e-mail de phishing temático de salário que pretende ser do departamento de contabilidade e insta os destinatários a abrir o documento do Microsoft Word anexado para visualizar o “relatório salarial mensal”.

O documento do Word, ao ser aberto, instrui a vítima a inserir uma senha fornecida no corpo do e-mail e habilitar a edição, seguido por um duplo clique em um ícone de impressora embutido no documento para visualizar o gráfico salarial. Fazer isso abre um arquivo de arquivo ZIP (“Chart20072007.zip”) contendo um arquivo de atalho do Windows, que funciona como um dropper do PowerShell para recuperar e executar um binário do NetSupport RAT de um servidor remoto.