Microsoft ha lanciato un avviso agli utenti in merito a una nuova diffusa campagna di phishing a tema Covid-19. Lo strumento di amministrazione remota di NetSupport Manager viene installato per assumere completamente il controllo del sistema di un utente e persino eseguire comandi su di esso da remoto.

Il team di Microsoft Security Intelligence ha fornito ulteriori dettagli su questa campagna in corso attraverso una serie di tweet, in cui ha affermato che i criminali informatici utilizzano allegati Excel dannosi per infettare i dispositivi degli utenti con un trojan ad accesso remoto (RAT). L'attacco inizia con le potenziali vittime che ricevono un'e-mail da parte del John Hopkins Center. Questa e-mail afferma di fornire alle vittime un aggiornamento sul numero di decessi correlati al coronavirus. Allegato all'e-mail è presente un file Excel che mostra un grafico che mostra il numero di decessi negli Stati Uniti.

Quando un utente apre il file Excel, questo richiede di 'Abilitare il contenuto', dando in questo modo esecuzione alle attività dannose del file, che scaricano e installano il client NetSupport Manager da un sito remoto. In un tweet, il team di Microsoft Security Intelligence ha spiegato che tutti i diversi file Excel utilizzati nella campagna si collegano tutti alla stessa URL:

"Le centinaia di file Excel in questa campagna utilizzano formule altamente offuscate, ma tutte si collegano allo stesso URL per scaricare il payload. NetSupport Manager è noto per essere stato utilizzato dagli aggressori per ottenere accesso remoto ed eseguire comandi sulle macchine compromesse."

Sebbene NetSupport Manager sia in realtà uno strumento di amministrazione remota legittimo, è comunemente distribuito tra le comunità di hacker che lo utilizzano come RAT. Una volta che un utente installa inconsapevolmente NetSupport Manager sul proprio computer, consente agli hacker di ottenere il controllo completo sulla macchina infetta ed eseguire comandi su di essa da remoto. Il RAT di NetSupport Manager viene quindi utilizzato per compromettere ulteriormente il computer di una vittima installando strumenti e script aggiuntivi.

Coloro che sono caduti vittime di questa campagna di phishing dovrebbero presumere che i loro dati siano stati compromessi e che gli hacker abbiano tentato di rubare le loro password. Una volta che il dispositivo infetto è stato pulito, è consigliabile che gli utenti modifichino tutte le loro password e quelle appartenenti ad altri computer della propria rete.