Caçadores de ameaças estão alertando sobre uma nova campanha que emprega websites enganosos para ludibriar usuários desavisados a executarem scripts maliciosos de PowerShell em suas máquinas e infectá-los com o malware NetSupport RAT.
A equipe de Investigações da DomainTools (DTI) afirmou ter identificado "scripts de PowerShell de download multi-etapa maliciosos" hospedados em sites-isca que se passam por Gitcode e DocuSign.
"Esses sites tentam enganar os usuários fazendo-os copiar e executar um script inicial de PowerShell no comando Executar do Windows," disse a empresa em um relatório técnico compartilhado com a imprensa.
"Ao fazer isso, o script de PowerShell baixa outro script de downloader e executa no sistema, que por sua vez recupera payloads adicionais e as executa, eventualmente instalando o NetSupport RAT nas máquinas infectadas."
Acredita-se que esses sites falsificados podem ser propagados via tentativas de engenharia social por email e/ou plataformas de mídia social.
Os scripts de PowerShell presentes nos sites falsificados do Gitcode são projetados para baixar uma série de scripts intermediários de PowerShell de um servidor externo ("tradingviewtool[.]com") que são usados sucessivamente para lançar o NetSupport RAT nas máquinas das vítimas.
A DomainTools disse também ter identificado vários websites que imitam o Docusign (por exemplo, docusign.sa[.]com) para entregar o mesmo trojan de acesso remoto, mas com uma diferença: Usando verificações de CAPTCHA ao estilo ClickFix para enganar as vítimas a executar o script malicioso de PowerShell.
Assim como as recentes cadeias de ataque documentadas entregando o infostealer EDDIESTEALER, os usuários que acessam as páginas são solicitados a provar que não são robôs, completando a verificação.
Acionar a verificação CAPTCHA faz com que um comando de PowerShell ofuscado seja secretamente copiado para a área de transferência do usuário -- uma técnica chamada envenenamento de área de transferência -- após o qual são instruídos a iniciar o diálogo Executar do Windows ("Win + R"), colar ("CTRL + V") e pressionar Enter, fazendo com que o script seja executado no processo.
O script de PowerShell funciona baixando um script de persistência ("wbdims.exe") do GitHub para garantir que o payload seja lançado automaticamente quando o usuário faz login no sistema.
"Embora esse payload não estivesse mais disponível durante o tempo de investigação, a expectativa é que ela faça check-in com o site de entrega via 'docusign.sa[.]com/verification/c.php,'" disse a DomainTools.
"Ao fazer isso, é acionada uma atualização no navegador para a página exibir o conteúdo de 'docusign.sa[.]com/verification/s.php?an=1.'"
Isso resulta na entrega de um script de PowerShell de segundo estágio, que então baixa e executa um payload ZIP de terceiro estágio do mesmo servidor, definindo o parâmetro da URL "an" como "2." O script prossegue para desempacotar o arquivo e executar um executável chamado "jp2launcher.exe" presente nele, levando finalmente à implantação do NetSupport RAT.
"Os múltiplos estágios de scripts baixando e executando scripts que baixam e executam ainda mais scripts é provavelmente uma tentativa de evitar detecção e ser mais resiliente a investigações de segurança e desativações," disse a empresa.
Atualmente, não está claro quem está por trás da campanha, mas a DomainTools apontou que identificou URL de entrega similar, padrões de nomeação de domínio e de registro em conexão com uma campanha de SocGholish (também conhecida como FakeUpdates) detectada em outubro de 2024.
Notavelmente, as técnicas envolvidas são comuns e o NetSupport Manager é uma ferramenta de administração legítima conhecida por ser utilizada como um RAT por vários grupos de ameaças como FIN7, Scarlet Goldfinch, Storm-0408, entre outros.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...