แฮกเกอร์กำลังใช้เอกสาร Word เพื่อปล่อย NetSupport Manager RAT
นักวิจัยจาก Cortex XDR ของ Palo Alto Networks เปิดเผยว่าได้พบกับแคมเปญฟิชชิ่งแบบใหม่ซึ่งมีเป้าหมายที่จะทำให้ผู้ใช้ติดไวรัสด้วย NetSupport Manager RAT (Remote Administration Tool)
แม้ว่า NetSupport ไม่เป็นอันตรายและมีการใช้เพื่อวัตถุประสงค์ในการบริหารเครือข่าย และเชื่อว่าแคมเปญนี้จะเริ่มขึ้นตั้งแต่เดือนพฤศจิกายน 2562 ถึงมกราคม 2563 โดยมีเป้าหมายเฉพาะที่อุตสาหกรรมการพิมพ์และภาพยนตร์
กระบวนการโจมตี
ทำการโจมตีโดยส่งอีเมลที่เกี่ยวข้องกับสถานะการคืนเงินหรือการทำธุรกรรมบัตรเครดิตด้วยเอกสาร Word ที่แฝงไวรัสไว้แล้วอ้างว่ามีข้อมูลที่สำคัญและรหัสผ่านสำหรับเปิดเอกสาร นอกจากนี้ผู้ใช้ยังได้รับแจ้งว่าต้องเปิดใช้งานแมโครภายใน Microsoft Word เพื่อป้อนรหัสผ่าน
เมื่อผู้ใช้เปิดเอกสารโค้ดที่ถูกแฝงมาจะถูกรันคำสั่งสร้างสตริง สตริงที่ถูกสร้างจะเรียกใช้งานบน VBA ซึ่งจะใช้เพื่อเรียก cmd.exe และสร้างไฟล์แบตช์ชื่อ alpaca.bat เพื่อติดตั้ง “Microsoft Intermediate Language (MSIL) ไบนารี่กับผู้ใช้” และจะทำการตรวจสอบว่ามีแอนตี้ไวรัส AVG หรือ Avast ทำงานบนเครื่องของผู้ใช้หรือไม่ ถ้ามีกระบวนการทั้งหมดจะหยุดลง ถ้าไม่มีจะดำเนินการต่อจากนั้นมัลแวร์จะติดตั้ง“ NetSupport Manager RAT” และส่งตำแหน่งของคอมพิวเตอร์ของเหยื่อไปที่“ 'geo.netsupportsoftware [.] com” เพื่อทำการโจมตี นักวิจัยจาก Palo Alto Networks และ Zscaler ได้รายงานกรณีที่คล้ายกันในเดือนเมษายน 2018 และพฤศจิกายน 2019
คำแนะนำ: หลีกเลี่ยงการเปิดสิ่งที่แนบมาจากอีเมลที่ไม่รู้จักและไม่ระบุชื่อ ใช้ซอฟต์แวร์ป้องกันไวรัสที่ดี หลีกเลี่ยงการ USB ทิ้งไว้ในที่สาธารณะ
ที่มา : hackread
You must be logged in to post a comment.