Paloalto研究人员最近发现一个通过网络钓鱼活动传播的恶意Microsoft Word文档，该文档伪装成受密码保护的NortonLifelock文档，来诱使用户启用宏，以分发称为NetSupport Manager的商用远程访问工具(RAT)，此RAT通常用于合法目的，允许管理员远程访问客户端计算机。但是，恶意运营商正在将RAT安装到受害者的系统中，以获得未经授权的访问。托管RAT的域似乎是一个合法域，已经被攻击者破坏并使用。恶意文件中PowerShell脚本似乎是使用来自PowerSploit框架的开源脚本Out-EncryptedScript.ps1生成的。其包含一个通过base64进行混淆的数据块，并使用密码块链(CBC)的加密模式对其进行TripleDES加密。其会检测目标上是否正在运行Avast或AVG Antivirus软件，如果是则停止安装，不是则安装组成NetSupport Manager RAT的12个文件到％appdata％中的随机目录。