Dreigingsjagers waarschuwen voor een nieuwe campagne die misleidende websites in dienst heeft om niet -verwerkende gebruikers te misleiden om kwaadaardige PowerShell -scripts op hun machines uit te voeren en deze te infecteren met de NetSupport -rattenmalware.
Het Domaintools Investigations (DTI) -team zei dat het “kwaadwillende multi-fase downloader PowerShell Scripts” identificeerde die werden georganiseerd op kunstaaswebsites die zich voordoen als Gitcode en Docusign.
“Deze sites proberen gebruikers te misleiden om een eerste PowerShell -script te kopiëren en uit te voeren op hun Windows Run -opdracht,” zei het bedrijf in een technisch rapport gedeeld met het Hacker News.
“Daarbij downloadt het PowerShell -script een ander downloader -script en wordt het uitgevoerd op het systeem, dat op zijn beurt extra payloads haalt en ze uitvoert, uiteindelijk NetSupport Rat op de geïnfecteerde machines installeren.”
Er wordt aangenomen dat deze vervalste sites kunnen worden gepropageerd via sociale engineeringpogingen via e -mail en/of sociale mediaplatforms.
De aanwezige PowerShell -scripts die op de nep -gitcode -sites worden gehost, zijn ontworpen om een reeks tussenliggende PowerShell -scripts te downloaden van een externe server (“TradingViewTool (.) Com”) die achter elkaar worden gebruikt om NetSupport Rat op slachtoffermachines te lanceren.
Domaintools zei dat het ook verschillende websites heeft geïdentificeerd die Docusign (bijv. Docusign.sa (.) Com) identificeerde om dezelfde externe toegang te leveren, maar met een wending: captcha-verificaties in clickfix-stijl gebruiken om slachtoffers te dupimeren om het kwaadaardige powershell-script te runnen.
Net als de recent gedocumenteerde aanvalsketens die de Eddiestealer -infostealer leveren, worden gebruikers die op de pagina’s landen gevraagd om te bewijzen dat ze geen robot zijn door de cheque te voltooien.
Door de captcha -verificatie te activeren zorgt ervoor dat een obfusced powerShell -opdracht clandestien wordt gekopieerd naar het klembord van de gebruiker – een techniek genaamd klembordvergiftiging – waarna ze worden geïnstrueerd om het Windows Run -dialoogvenster (“win + r”), plakken (“Ctrl + v”) en op te dringen, die het script veroorzaakt in het proces.
Het PowerShell -script werkt door een persistentie -script (“wbdims.exe”) te downloaden van GitHub om ervoor te zorgen dat de payload automatisch wordt gestart wanneer de gebruiker zich aanmeldt bij het systeem.
“Hoewel deze lading niet langer beschikbaar was tijdens de onderzoekstijd, is de verwachting dat deze incheckt bij de bezorgsite via ‘Docusign.sa (.) Com/verificatie/c.php,'” zei Domaintools. “Daarbij activeert het een vernieuwing in de browser voor de pagina om de inhoud van ‘docusign.sa (.) Com/verificatie/s.php? AN = 1.’
Dit resulteert in de levering van een tweede-fase PowerShell-script, dat vervolgens een zip-lading van de derde fase van dezelfde server downloadt en uitvoert door de URL-parameter “een” op “2.” in te stellen Het script gaat verder met het uitpakken van het archief en voert een uitvoerbaar bestand uit met de naam “JP2Launcher.exe” daarin, wat uiteindelijk leidt tot de inzet van NetSupport Rat.
“De meerdere fasen van scripts die scripts downloaden en uitvoeren die nog meer scripts downloaden en uitvoeren, is waarschijnlijk een poging om detectie te ontwijken en veerkrachtiger te zijn voor beveiligingsonderzoeken en verwijdering,” zei het bedrijf.
Het is momenteel niet duidelijk wie achter de campagne zit, maar Domaintools wees erop dat het vergelijkbare leverings -URL, domeinnoeming en registratiepatronen heeft geïdentificeerd in verband met een Socgholish (aka FakeUpdates) -campagne gedetecteerd in oktober 2024.
“Met name de betrokken technieken zijn gemeengoed en NetSupport Manager is een legitiem administratietool waarvan bekend is dat ze als rat worden gebruikt door meerdere bedreigingsgroepen zoals Fin7, Scarlet Goldfinch, Storm-0408 en anderen.”
