“幻蓝行动”报告：黑客制作恶意 Office 文档，分发窃取用户敏感数据

据最新报告显示，网络安全公司Perception Point近期发布了关于“幻蓝行动”的跟踪调查报告。该行动是针对美国企业的网络钓鱼活动。

黑客利用NetSupport RAT这种恶意软件制造带有NetSupport RAT木马的微软Office文档，并通过邮件分发给用户，诱使他们点击打开文档并远程窃取敏感数据。

这些邮件伪装成会计团队发出的工资报告邮件，黑客使用了一个名为Brevo（此前称为Sendinblue）的电子邮件营销平台来发送这些邮件。当受害者打开Word文档时，系统会要求他们输入正文中提到的密码并启用编辑功能。随后，双击文档中嵌入的打印机图标查看图表。

接下来，文件将解压缩为一个名为Chart20072007.zip的ZIP压缩文件，其中包含一个Windows快捷方式文件，可作为PowerShell驱动器使用，在远程服务器上执行NetSupport RAT安装文件。

PhantomBlu采用加密的.doc文件通过OLE模板和模板注入的方式发送NetSupport RAT，这标志着其与相关领域中使用的传统技术策略存在差异，并添加了新的更新技术，展示了其对复杂规避策略和社交工程相结合的创新。