近日以色列网络安全公司Perception Point发布了一则有关“幻蓝行为”

NetSupport RAT是以合法合规远程桌面软件 NetSupport Manager 衍生的，是一种恶意程序。互联网犯罪嫌疑人一般通过这个专用工具，在早已被入侵设备上盗取各种信息。网络黑客一般会推送1封以薪水为主要内容的钓鱼邮件，装作是通过财务会计精英团队上传的。电子邮箱规定收货人开启附加的 Microsoft Word 文本文档，查询月工资汇报。

安全公司在调查电子邮箱文章标题之后发现，网络黑客运用了名叫Brevo（旧名称Sendinblue）电子邮件营销平台发邮件。受害人开启Word文本文档后，配置要求键入电子邮箱中提及的登陆密码，并开启编辑工具。紧接着，她们点开word里的打印机图标，查询工资条。接着，压缩包解压出来一个名叫Chart20072007.zip的ZIP文本文档，其中包含1个Windows快捷方式图标文本文档，可以作为PowerShell控制器，从虚拟服务器查找并实施NetSupport RAT安装包。PhantomBlu应用加密的.doc文本文档，根据OLE模板和模版引入方法推送NetSupport RAT，这说明PhantomBlu在避开策略与社交媒体工程项目结合在一起的人才培养方面和传统NetSupport RAT部署的不一样，并增加了升级更新的技术性，展现了PhantomBlu的创造能力。