Microsoft: Nuova campagna phishing del cybercrime sfrutta NetSupport Manager. Gli esperti di cyber security: il RAT è diffuso attraverso macro malevole, legate a un documento Excel sul coronavirus. Attenzione, le esche variano!

Il cybercrime ha lanciato una nuova campagna di phishing a tema Covid-19, che sfrutta il remote access tool NetSupport Manager. Lo denunciano gli esperti di cyber security di Microsoft. Le potenziali vittime ricevono una email, in teoria proveniente dal John Hopkins Center, con rapporti aggiornati sulla diffusione del coronavirus. I documenti allegati sono tutti file Excel 4.0, ma il contenuto varia. Infatti, finora ne sono stati usati centinaia diversi. L’ultimo mostra alcuni avvisi di sicurezza e un grafico dell’evoluzione della pandemia negli Stati Uniti. Per aprirlo, però, è necessario abilitare le macro. Se l’utente cade nel tranello, queste scaricano e lanciano il NetSupport Manager. Il RAT quindi installa altri componenti, comprese diversi file .dll ed eseguibili, uno script in Virtual Basic e un altro offuscato in PowerShell. Serve a connettersi al server C2, in modo che gli attaccanti possano inviare altri comandi come scaricare malware, rubare dati o eseguire azioni.