Los cazadores de amenazas están alertando a una nueva campaña que emplea sitios web engañosos para engañar a los usuarios desprevenidos para ejecutar scripts de PowerShell maliciosos en sus máquinas e infectarlos con el malware de rata de soporte de redes.
El equipo de Investigaciones de Doma-DomaLools (DTI) dijo que identificaba “Scripts PowerShell Maliciosos de descarga de varias etapas” alojados en sitios web de Lure que se disfrazan de GitCode y DocUsign.
“Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script de PowerShell original en su comando Windows Run”, dijo la compañía en un mensaje técnico compartido con Hacker News.
“Al hacerlo, el script de PowerShell descarga otro script de descarga y se ejecuta en el sistema, que a su vez recupera cargas avíos adicionales y las ejecuta eventualmente instalando NetSupport Rat en las máquinas infectadas”.
Se cree que estos sitios falsificados pueden propagarse a través de intentos de ingeniería social a través de plataformas de correo electrónico y/o redes sociales.
Los scripts de PowerShell presentes alojados en los sitios falsos de código GITS están diseñados para descargar una serie de secuencias de comandos de PowerShell intermedios de un servidor forastero (“TradingViewTool (.) Com”) que se utilizan en sucesión para propalar NetSupport Rat en máquinas víctimas.
DomaTools dijo que igualmente identificó varios sitios web que falsifica Docusign (por ejemplo, docusign.sa (.) Com) para ofrecer el mismo troyano de entrada remoto pero con un vuelta: usar verificaciones de captcha de estilo ClickFix para engañar a las víctimas para que ejecute el tema de Powershell receloso.
Al igual que las cadenas de ataque recientemente documentadas que ofrecen el Infente de EddiDontealer, se les pide a los usuarios que aterrizan en las páginas que demuestren que no son un androide al completar el cheque.
Activar la comprobación de Captcha hace que un comando de PowerShell ofuscado se copie clandestinamente en el portapapeles del afortunado, una técnica señal envenenamiento del portapapeles, posteriormente de lo cual se les indica que inicie el dialog de ejecución de Windows (“win + r”), pegar (“Ctrl + v”) y presione Entrar, lo que hace que el tema se ejecute en el proceso.
El script de PowerShell funciona descargando un script de persistencia (“wbdims.exe”) de GitHub para certificar que la carga útil se inicie automáticamente cuando el afortunado inicia sesión en el sistema.
“Si proporcionadamente esta carga útil ya no estaba habitable durante el momento de la investigación, la expectativa es que se registra con el sitio de entrega a través de ‘docusign.sa (.) Com/comprobación/c.php'”, dijo Doma -Domaintols. “Al hacerlo, desencadena una puesta al día en el navegador para que la página muestre el contenido de ‘docusign.sa (.) Com/comprobación/s.php? An = 1.'”
Esto da como resultado la entrega de un script PowerShell de segunda etapa, que luego descarga y ejecuta una carga útil postal de tercera etapa del mismo servidor configurando el parámetro URL “y” 2 “”. El script procede a desempaquetar el archivo y ejecutar un ejecutable llamado “jp2laununcher.exe” presente interiormente de él, lo que finalmente lleva a la implementación de NetSupport Rat.
“Las múltiples etapas de los scripts que descargan y ejecutan scripts que se descargan y ejecutan aún más scripts es probablemente un intento de escamotear la detección y ser más resistente a las investigaciones de seguridad y los derribos”, dijo la compañía.
Actualmente no está claro quién está detrás de la campaña, pero Domainteols señaló que identificó una URL de entrega similar, nombres de dominios y patrones de registro en relación con una campaña Socgholish (igualmente conocida como FakeUpdates) detectada en octubre de 2024.
“En particular, las técnicas involucradas son comunes y NetSupport Manager es una útil de compañía legítima que se sabe que es aprovechada como una rata por múltiples grupos de amenazas como FIN7, Scarlet Goldfinch, Storm-0408 y otros”.
