Microsoft предупреждает о продолжающейся фишинговой кампании COVID-19, в которой устанавливается средство удаленного администрирования NetSupport Manager. В серии твитов команда Microsoft Security Intelligence описывает, как эта «массовая кампания» распространяет инструмент через вредоносные вложения Excel.

Атака начинается с электронных писем, притворяющихся полученными из Центра Джона Хопкинса, который рассылает обновленную информацию о количестве смертей, связанных с коронавирусом, в Соединенных Штатах.

Вредоносная электронная почта о COVID-19

К этому письму прилагается файл Excel под названием «covid_usa_nyt_8072.xls», который при открытии отображает диаграмму, показывающую количество смертей в США на основе данных из New York Times.

Вредоносный документ Excel

Поскольку этот документ содержит вредоносные макросы, он предложит пользователю «Включить содержимое». После нажатия будут выполняться вредоносные макросы для загрузки и установки клиента NetSupport Manager с удаленного сайта.

«Сотни уникальных файлов Excel в этой кампании используют запутанные формулы, но все они подключаются к одному и тому же URL-адресу для загрузки полезной нагрузки. NetSupport Manager известен тем, что злоумышленники злоупотребляли им для получения удаленного доступа и выполнения команд на скомпрометированных машинах, сказано в твитте.

NetSupport Manager - это законный инструмент удаленного администрирования, обычно распространяемый среди сообществ хакеров для использования в качестве трояна удаленного доступа. После установки он позволяет субъекту угрозы получить полный контроль над зараженной машиной и выполнять на ней команды удаленно. В этой конкретной атаке клиент NetSupport Manager будет сохранен как файл dwm.exe в случайной папке% AppData% и запущен в последующем.

Поскольку средство удаленного администрирования маскируется под допустимый исполняемый файл Desktop Windows Manager, пользователи, просматривающие диспетчер задач, могут не замечать ничего необычного.

Netsupport Manager работает как DWM.exe

Через некоторое время NetSupport Manager RAT будет использоваться для дальнейшего взлома компьютера жертвы путем установки других инструментов и сценариев.

«NetSupport RAT, используемый в этой кампании, дополнительно отбрасывает несколько компонентов, в том числе несколько файлов .dll, .ini и других .exe, VBScript и скрытый сценарий PowerSploit на основе PowerSploit. Он подключается к серверу C2, что позволяет злоумышленникам отправлять дальнейшие команды", объяснили в Microsoft.

Любой, на кого повлияла эта фишинговая кампания, должен исходить из предположения, что их данные были скомпрометированы и что злоумышленник попытался украсть их пароли. Также возможно, что субъект угрозы использовал зараженную машину жертвы, чтобы распространять вирус по всей сети.

После очистки зараженного устройства пароли должны быть изменены, а остальные компьютеры в сети должны быть проверены на наличие инфекций.