Pemburu ancaman memperingatkan kampanye baru yang menggunakan situs web yang menipu untuk menipu pengguna yang tidak curiga agar menjalankan skrip PowerShell berbahaya pada mesin mereka dan menginfeksi mereka dengan malware tikus Netsupport.
Tim Domaintools Investigations (DTI) mengatakan pihaknya mengidentifikasi “skrip pengunduh multi-tahap yang berbahaya PowerShell Script” yang diselenggarakan di situs web umpan yang menyamar sebagai gitcode dan docusign.
“Situs -situs ini berupaya menipu pengguna agar menyalin dan menjalankan skrip PowerShell awal pada perintah Windows Run mereka,” kata perusahaan itu dalam sebuah laporan teknis yang dibagikan kepada Hacker News.
“Setelah melakukannya, skrip PowerShell mengunduh skrip pengunduh lain dan mengeksekusi pada sistem, yang pada gilirannya mengambil muatan tambahan dan menjalankannya akhirnya menginstal Netsupport Rat pada mesin yang terinfeksi.”
Dipercayai bahwa situs -situs palsu ini dapat disebarkan melalui upaya rekayasa sosial melalui email dan/atau platform media sosial.
Script PowerShell yang hadir di -host di situs GitCode palsu dirancang untuk mengunduh serangkaian skrip PowerShell menengah dari server eksternal (“TradingViewTool[.]com “) yang digunakan secara berurutan untuk meluncurkan Netsupport Rat pada mesin korban.
Domaintools mengatakan juga mengidentifikasi beberapa situs web spoofing docuSign (misalnya, docuSign.sa[.]com) Untuk memberikan Trojan akses jarak jauh yang sama tetapi dengan twist: Menggunakan verifikasi captcha gaya clickfix untuk menipu para korban untuk menjalankan skrip PowerShell berbahaya.
Seperti rantai serangan yang baru -baru ini didokumentasikan yang menghasilkan infostealer eddiestealer, pengguna yang mendarat di halaman diminta untuk membuktikan bahwa mereka bukan robot dengan menyelesaikan cek.
Memicu verifikasi CAPTCHA menyebabkan perintah PowerShell yang dikalahkan disalin secara klinas ke clipboard pengguna – teknik yang disebut keracunan clipboard – setelah itu mereka diinstruksikan untuk meluncurkan dialog Windows Run (“Win + R”), Paste (“CTRL + V”), dan tekan enter, menyebabkan skrip yang dieksekusi dalam proses.
Skrip PowerShell berfungsi dengan mengunduh skrip persistensi (“wbdims.exe”) dari GitHub untuk memastikan bahwa muatan diluncurkan secara otomatis ketika pengguna masuk ke sistem.
“Meskipun muatan ini tidak lagi tersedia selama masa penyelidikan, harapannya adalah memeriksa dengan situs pengiriman melalui 'docuSign.sa[.]com/verifikasi/c.php, '”kata Domaintools.” Setelah melakukannya, itu memicu penyegaran di browser untuk halaman untuk menampilkan konten' docuSign.sa[.]com/verifikasi/s.php? an = 1. '”
Ini menghasilkan pengiriman skrip PowerShell tahap kedua, yang kemudian mengunduh dan menjalankan muatan zip tahap ketiga dari server yang sama dengan mengatur parameter URL “” ke “2.” Script mulai membongkar arsip dan menjalankan yang dapat dieksekusi bernama “jp2launcher.exe” hadir di dalamnya, pada akhirnya mengarah ke penyebaran tikus Netsupport.
“Berbagai tahap skrip mengunduh dan menjalankan skrip yang mengunduh dan menjalankan lebih banyak skrip kemungkinan merupakan upaya untuk menghindari deteksi dan lebih tangguh untuk penyelidikan keamanan dan pencopotan,” kata perusahaan itu.
Saat ini tidak jelas siapa yang berada di belakang kampanye, tetapi Domaintools menunjukkan bahwa mereka mengidentifikasi URL pengiriman yang sama, penamaan domain, dan pola pendaftaran sehubungan dengan kampanye Socgholish (alias palsu) yang terdeteksi pada Oktober 2024.
“Khususnya, teknik yang terlibat adalah hal biasa dan Netsupport Manager adalah alat administrasi yang sah yang diketahui dimanfaatkan sebagai tikus oleh beberapa kelompok ancaman seperti FIN7, Scarlet Goldfinch, Storm-0408, dan lainnya.”
