I cacciatori di minacce stanno avvisando una nuova campagna che impiega siti Net inganne RATO NETSupport malware.
Il group di Domaintools Investigations (DTI) ha dichiarato di aver identificato “Script di downloader in più stage Powershell Scripts” ospitato su siti Net di richiamo che mascherano come Gitcode e Docusign.
“Questi siti tentano di ingannare gli utenti nella copia e nell’esecuzione di uno script PowerShell iniziale sul loro comando Home windows Run”, la società disse In un rapporto tecnico condiviso con le notizie di Hacker.
“In tal modo, lo script PowerShell scarica un altro script di downloader ed esegue sul sistema, che a sua volta recupera ulteriori payload ed esegue eventualmente installare Netsupport Rat sulle macchine infette.”
Si ritiene che questi siti contraffatti possano essere propagati tramite tentativi di ingegneria sociale su piattaforme e -mail e/o social media.
Gli script PowerShell presenti ospitati sui siti di gitcode falsi sono progettati per scaricare una serie di script di PowerShell intermedi da un server esterno (“TradingViewTool (.) Com”) che vengono utilizzati in successione per lanciare Netsupport Rat su macchine per vittime.
Domaintools ha affermato di aver identificato anche diversi siti Net spoofing Docusign (advert esempio, docusign.sa (.) Com) per fornire lo stesso Trojan advert accesso remoto ma con una svolta: usando ClickFix-Model Captcha Verificazioni alle vittime dupe nel gestire la sceneggiatura di PowerShell dannosa.
Come il recente documentato Le catene di attacco che consegnano l’Infostealer di Eddiesteler, gli utenti che atterrano sulle pagine sono invitati a dimostrare di non essere un robotic completando l’assegno.
L’innesco della verifica CAPTCHA fa copiare clandestinamente un comando di PowerShell offuscato negli appunti dell’utente – una tecnica chiamata Avvelenamento da boschetto – dopo la quale viene chiesto loro di avviare la finestra di dialogo di Home windows Esec (“Win + R”), incolla (“Ctrl + V”) e premere Invio, causando l’esecuzione della sceneggiatura nel processo.
Lo script PowerShell funziona scaricando uno script di persistenza (“wbdims.exe”) da GitHub per garantire che il carico utile venga lanciato automaticamente quando l’utente accede al sistema.
“Mentre questo carico utile non period più disponibile durante il periodo dell’indagine, l’aspettativa è che il test -in con il sito di consegna tramite ‘docusign.sa (.) Com/verifica/c.php'”, ha affermato Domaintools. “In tal modo, innesca un aggiornamento nel browser per la pagina per visualizzare il contenuto di ‘docusign.sa (.) Com/verifica/s.php? An = 1.'”
Ciò si traduce nella consegna di uno script PowerShell del secondo stadio, che quindi scarica ed esegue un payload zip di terzo stadio dallo stesso server impostando il parametro URL “A” a “2.” Lo script procede a decomprimere l’archivio ed eseguire un eseguibile chiamato “JP2launcher.exe” al suo interno, portando alla high quality allo spiegamento di Netsupport Rat.
“Le molteplici fasi del obtain ed esecuzione di script che scaricano ed eseguono ancora più script sono probabilmente un tentativo di eludere il rilevamento ed essere più resilienti alle indagini sulla sicurezza e alle abbattimenti”, ha affermato la società.
Attualmente non è chiaro chi è dietro la campagna, ma Domaintools ha sottolineato che ha identificato URL di consegna simile, denominazione del dominio e modelli di registrazione in relazione a Socgholish (AKA FALSEUPDATES) Campagna rilevata nell’ottobre 2024.
“In particolare, le tecniche coinvolte sono all’ordine del giorno e Netsupport Supervisor è uno strumento di amministrazione legittimo noto per essere sfruttato come ratto da più gruppi di minacce come Fin7, Scarlet Goldfinch, Storm-0408e altri “.
