NetSupport Manager RAT instalado a través de la estafa de phishing Norton LifeLock

Una nueva campaña de phishing está dirigida a unos pocos con el nombre de Norton LifeLock y descargue la carga útil del malware después de obtener acceso. El ataque comienza con un correo electrónico malicioso que contiene un documento como Norton LifeLock, donde afirma tener información personal de los usuarios y le pide que habilite macros para su visualización. Esto todavía les da la oportunidad de descartar una RAT como Administrador de NetSupport para obtener acceso interno.

Los atacantes que usan nombres populares para ganarse la confianza de los usuarios son comunes en los delitos cibernéticos. Aquí, solo lo están usando para habilitar macros por parte del usuario, para que puedan descartar una RAT y explorar más. La campaña comienza con un correo electrónico de phishing que contiene un documento malicioso llamado Norton LifeLock. Este afirma tener información personal si el usuario y le pide que la verifique abriéndola mediante una contraseña. La contraseña se proporciona principalmente en el correo electrónico, junto con el documento.

NetSupport Manager RAT instalado mediante Norton LifeLock Phishing Scam NetSupport Manager RAT instalado mediante Norton LifeLock Phishing Scam
NetSupport Manager RAT instalado a través de la estafa de phishing Norton LifeLock

Habilitación de macro

Las contraseñas necesitan macros. Y debido a que Microsoft deshabilita las macros de forma predeterminada en su paquete de Office, el atacante pide a los usuarios que habiliten las macros para ver información a través del documento. Y cuando se abre con una contraseña proporcionada, descarga un troyano de acceso remoto llamado Administrador de NetSupport. Este cargo parece legítimo y tiene acceso de administrador para revisar las cuentas de los clientes.

Correo electrónico de phishing de Norton LifeLock que solicita la activación de macros.

Esta RAT se adquiere del dominio quickwaysignstx[.]com / view.php e instálelo usando el comando msiexec en el instalador de Windows. Aquí, la carga recuperada agrega un script de Powershell en Carpeta% temp% de Windows, todo sin la notificación de la víctima. Esto se hace para servir como respaldo para NetSupport Manager. Pero una vez que se ejecuta la RAT, ese script de Powershell se elimina.

Almacene la carga útil y la información en archivos del sistema

La secuencia de comandos, incluso antes de ejecutarse, comprueba la computadora en busca de software antivirus como Avast o AVG. Y si lo encuentra, no instalará nada más. Pero, si no se encuentra nada malo, el script agrega una carpeta con nombre aleatorio y archivos de NetSupport Manager, junto con una clave de registro como ‘HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run. Después de todo, comienza a ejecutarse y envía información sobre el sistema al atacante.

Esta campaña fue detectada por primera vez por Unidad 42 de Palo Alto Networks en enero de este año. Pero una investigación en profundidad revela que la campaña ha estado activa desde noviembre del año pasado y en una escala más amplia.

Fuente: Unidad 42