مهاجمان سایبری در کارزاری فیشینگ با ارسال ایمیلهای حاوی اسنادِ درظاهر حاوی اطلاعات محرمانه، ابزار معتبر دسترسی از راه دور را بر روی سیستم اهداف خود نصب میکنند.
اکثر این ایمیلها در قالب پیامهای بازپرداخت، نقل و انتقالات برخط و صورتحسابهایی از این قبیل است.
مهاجمان در پیوست ایمیل فیشینگ و در فایل ارسالی به این بهانه که حاوی اطلاعات شخصی است از قربانی میخواهند تا برای وارد کردن رمز درج شده در متن ایمیل و رمزگشایی آن، قابلیت ماکرو را در نرمافزار Word فعال کند.
در مراحل بعدی، ماکرو اقدام به اجرای فرامینی میکند که در نتیجه آنها با بکارگیری پروسه معتبر PowerShell یک ابزار دسترسی از راه دور بر روی سیستم نصب و ماندگار میشود.
ابزار نصب شده نسخهای از NetSupport Manger گزارش شده است. NetSupport Manger یک ابزار معتبر دسترسی از راه دور است که معمولاً کارکنان بخش فناوری اطلاعات سازمانها برای اتصال از راه دور به سیستمها استفاده میکنند.
در حالی که مهاجمان با اجرای NetSupport Manger اهداف مخربی را دنبال میکنند، اما با توجه به معتبر بودن این ابزار، محصولات امنیتی و ضدویروس نسبت به آن بهعنوان یک بدافزار واکنش نشان نمیدهند. اگر چه احتمالاً مهاجمان از نسخهای موسوم به کرک استفاده کرده و از کانالهای قانونی آن را خریداری نکردهاند.
پایگاه اینترنتی ZDNet نوشته است: هنوز مشخص نیست که انگیزه اصلی مهاجمان از اجرای این کارزار چیست، ممکن است که این افراد قصد سرقت فوری اطلاعات را داشته باشند یا در برنامهای دراز مدت برای رصد ایمیلهای ورودی و خروجی بر روی سیستم آلوده و شناسایی مخاطبان قربانیان را داشته باشند تا بر اساس اطلاعات استخراج شده، حملات هدفمند فیشینگی را برای هک حسابهای کاربری قربانیان انجام دهند.
کارشناسان معاونت بررسی مرکز افتا میگویند: از آنجا که موفقیت این کارزار به استفاده از بخش ماکرو در مجموعه نرمافزاری Office بستگی دارد، توصیه میشود که این قابلیت در حالت دائماً غیر فعال قرار داده شود.
مرکز افتا همچنین از کاربران خواسته است تا در باز کردن ایمیلهای ارسالی از سوی فرستندگان ناآشنا بهخصوص در زمانی که در آنها از موارد اضطراری صحبت میشود، بسیار محتاطانه عمل کنند.