Microsoft Security Intelligence team เตือนให้ระวังการทำ phishing ที่หลอกติดตั้ง Net Support Manager remote administration tool ผ่านไฟล์แนบที่มาในรูปแบบของไฟล์ Excel โดยอ้างว่าเป็นข้อมูลอัปเดตจำนวนผู้เสียชีวิต coronavirus ในสหรัฐฯ จาก Johns Hopkins Center โดยไฟล์แนบระบุชื่อเป็น covid_usa_nyt_8072.xls เมื่อเปิดไฟล์จะพบกับข้อมูลกราฟจำนวนผู้เสียชีวิตในสหรัฐฯ ซึ่งอ้างอิงข้อมูลมาจาก New York Times แต่ไม่ใช่เพียงแค่ข้อมูลผู้เสียชีวิตเท่านั้น ไฟล์นี้ยังประกอบไปด้วย malicious macros ที่จะทำการ execute เพื่อดาวน์โหลดและติดตั้งโปรแกรม NetSupport Manager ทันทีที่มีการเปิดไฟล์ โดย Microsoft ยังให้ข้อมูลอีกว่ามีไฟล์ชื่ออื่น ๆ อีกกว่าร้อยชื่อ แต่ทั้งหมดนั้นจะเชื่อมต่อไปยัง URL เดียวกันทั้งหมด

NetSupport Manager เป็นที่ทราบกันดีว่าคือโปรแกรมที่ hacker มักนำมาใช้เพื่อทำการ remote access และ run คำสั่งควบคุมเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อ ซึ่งเมื่อโปรแกรมนี้ทำงานจะไม่สามารถตรวจสอบความผิดปกติได้จาก Task Manager เนื่องจากเครื่องจะมองว่าเป็นการทำงานของ Windows manager ทั่ว ๆ ไป และเป็นไปได้ว่าจะถูกใช้เพื่อแพร่กระจายไปยังเครื่องอื่น ๆ ในระบบเครือข่าย ดังนั้นหากผู้ใช้งานเผลอติดตั้งโปรแกรมนี้ ให้รีบลบและเคลียร์เครื่องโดยด่วน จากนั้นให้เปลี่ยน password ที่เคยใช้ login ในเครื่องทั้งหมด และควรตรวจสอบเครื่องอื่น ๆ ในระบบเครือข่ายเดียวกันด้วย

ที่มา: https://www.bleepingcomputer.com/news/security/microsoft-warns-of-massive-phishing-attack-pushing-legit-rat/