利用NetSupport Manager远程访问工具的攻击活动

2020年2月27日，美国的网络安全企业Palo Alto公司发布报告称，近期有攻击者使用带有恶意宏代码的Word文档，对受害者进行网络钓鱼攻击，目的是使用NetSupport Manager远程访问工具访问受害者的计算机。此类攻击活动最早出现于2018年，此次攻击活动从2019年11月持续到2020年1月，并未发现该Word文档通过电子邮件传播，经研究人员分析判断，其可能属于其他大型攻击活动中的一部分。 在本次攻击活动中，攻击者使用Proton匿名电子邮件地址发送钓鱼邮件和诱饵文档，该电子邮件地址具有与目标公司公开关联的人或来自电影或印刷业的公众人物的名字。邮件主题包含退款状态或未经授权的信用卡交易。攻击者使用的Word诱饵文档包含恶意宏代码，以伪装成受密码保护的NortonLifelock公司的文档为诱饵，诱使用户启用宏代码，下载安装NetSupport Manager远程访问工具，攻击者即可在未经授权的情况下远程访问受害者的计算机。