Microsoft предупреждает о фишинг-атаке NetSupport Manager RAT

person access_time20-05-2020, 07:23 visibility279 chat_bubble_outline0

Microsoft предупреждает о продолжающейся фишинговой кампании COVID-19, в которой устанавливается средство удаленного администрирования NetSupport Manager. В серии твитов команда Microsoft Security Intelligence описывает, как эта «массовая кампания» распространяет инструмент через вредоносные вложения Excel.

Атака начинается с электронных писем, притворяющихся полученными из Центра Джона Хопкинса, который рассылает обновленную информацию о количестве смертей, связанных с коронавирусом, в Соединенных Штатах.

Вредоносная электронная почта о COVID-19

К этому письму прилагается файл Excel под названием «covid_usa_nyt_8072.xls», который при открытии отображает диаграмму, показывающую количество смертей в США на основе данных из New York Times.

Вредоносный документ Excel

Поскольку этот документ содержит вредоносные макросы, он предложит пользователю «Включить содержимое». После нажатия будут выполняться вредоносные макросы для загрузки и установки клиента NetSupport Manager с удаленного сайта.

«Сотни уникальных файлов Excel в этой кампании используют запутанные формулы, но все они подключаются к одному и тому же URL-адресу для загрузки полезной нагрузки. NetSupport Manager известен тем, что злоумышленники злоупотребляли им для получения удаленного доступа и выполнения команд на скомпрометированных машинах, сказано в твитте.

NetSupport Manager - это законный инструмент удаленного администрирования, обычно распространяемый среди сообществ хакеров для использования в качестве трояна удаленного доступа. После установки он позволяет субъекту угрозы получить полный контроль над зараженной машиной и выполнять на ней команды удаленно. В этой конкретной атаке клиент NetSupport Manager будет сохранен как файл dwm.exe в случайной папке% AppData% и запущен в последующем.

Поскольку средство удаленного администрирования маскируется под допустимый исполняемый файл Desktop Windows Manager, пользователи, просматривающие диспетчер задач, могут не замечать ничего необычного.

Netsupport Manager работает как DWM.exe

Через некоторое время NetSupport Manager RAT будет использоваться для дальнейшего взлома компьютера жертвы путем установки других инструментов и сценариев.

«NetSupport RAT, используемый в этой кампании, дополнительно отбрасывает несколько компонентов, в том числе несколько файлов .dll, .ini и других .exe, VBScript и скрытый сценарий PowerSploit на основе PowerSploit. Он подключается к серверу C2, что позволяет злоумышленникам отправлять дальнейшие команды", объяснили в Microsoft.

Любой, на кого повлияла эта фишинговая кампания, должен исходить из предположения, что их данные были скомпрометированы и что злоумышленник попытался украсть их пароли. Также возможно, что субъект угрозы использовал зараженную машину жертвы, чтобы распространять вирус по всей сети.

После очистки зараженного устройства пароли должны быть изменены, а остальные компьютеры в сети должны быть проверены на наличие инфекций.
tagsКлючевые слова
Ctrl
Enter
Заметили ошЫбку
Выделите и нажмите Ctrl+Enter

Другие статьи

O&O ShutUp10++ для полного управления конфиденциальностью в Windows 11

O&O ShutUp10++ для полного управления конфиденциальностью в Windows 11

person77moroz access_time13-окт-2021

Еще в те дни, когда Windows 10 была самой новой операционной системой, интегрированная система

WinRAR лучший архиватор из себе подобных

WinRAR лучший архиватор из себе подобных

person77moroz access_time03-ноя-2020

WinRAR - это усовершенствованная утилита сжатия данных, которая поддерживает широкий спектр

Добавить комментарий

Комментарии (0)