Tin tặc đang sử dụng một kỹ thuật lừa đảo mới để cài đặt trojan truy cập từ xa (RAT) cho các nạn nhân nhẹ dạ và không có sự đề phòng. Kỹ thuật này sử dụng tính năng Object Linking and Embedding (OLE) của Windows để nhúng mã độc vào tài liệu Word.
Tin tặc đang tấn công lừa đảo với RAT NetSupport thông qua lỗ hổng của Microsoft.
Chiến dịch lừa đảo có tên gọi "Operation PhantomBlu", được bắt đầu với những email giả mạo từ bộ phận kế toán của công ty nạn nhân. Trong đó, email đính kèm một tài liệu Word có tiêu đề “Monthly Salary Report”(báo cáo lương tháng). Khi nạn nhân tải xuống và mở tài liệu này, họ sẽ được yêu cầu nhập mật khẩu. Sau đó, họ được hướng dẫn nhấp đúp vào biểu tượng máy in được nhúng trong tài liệu.
Hành động này sẽ kích hoạt một tệp nén ZIP chứa file shortcut Windows. Shortcut này sẽ chạy một trình gỡ mã PowerShell, từ đó triển khai RAT NetSupport từ một máy chủ từ xa.
RAT NetSupport là một loại phần mềm độc hại cho phép tin tặc truy cập và điều khiển máy tính của nạn nhân từ xa. Chúng có thể sử dụng RAT để đánh cắp dữ liệu nhạy cảm, cài đặt thêm phần mềm độc hại hoặc thực hiện các hành vi độc hại khác.
NetSupport RAT là phiên bản được "vũ khí hóa" của NetSupport Manager, một phần mềm điều khiển từ xa hợp pháp được phát hành lần đầu vào năm 1989. Trong nhiều năm, NetSupport RAT là một trong những Trojan truy cập từ xa được sử dụng phổ biến nhất, cho phép kẻ tấn công truy cập hoàn toàn vào các thiết bị bị xâm nhập. Sau đó, chúng có thể sử dụng quyền truy cập đó để triển khai các phần mềm độc hại thậm chí còn nguy hiểm hơn, bao gồm cả phần mềm đánh cắp thông tin cá nhân (infostealer) và mã hóa tống tiền (ransomware).
Chiến dịch Operation PhantomBlu cho thấy sự đổi mới của tin tặc trong việc sử dụng các kỹ thuật lừa đảo tinh vi để phát tán phần mềm độc hại. Người dùng cần nâng cao cảnh giác và cẩn trọng khi mở các email và tệp đính kèm từ những nguồn không xác định.