شکارچیان تهدیدات سایبری نسبت به کمپین جدیدی هشدار می‌دهند که از وب‌سایت‌های فریبنده برای گول زدن کاربران بی‌خبر استفاده می‌کند تا اسکریپت‌های مخرب PowerShell را روی دستگاه‌هایشان اجرا کنند و آنها را به بدافزار NetSupport RAT آلوده سازند.

تیم تحقیقات DomainTools اعلام کرد که “اسکریپت‌های PowerShell دانلودکننده مخرب چندمرحله‌ای” را شناسایی کرده که روی وب‌سایت‌های طعمه میزبانی می‌شوند و خود را به عنوان Gitcode و DocuSign جا می‌زنند. این شرکت در گزارش فنی خود اعلام کرد: “این سایت‌ها تلاش می‌کنند کاربران را فریب دهند تا یک اسکریپت PowerShell اولیه را کپی کرده و در Windows Run اجرا کنند.”

پس از اجرای این اسکریپت، یک اسکریپت دانلودکننده دیگر دانلود و اجرا می‌شود که به نوبه خود محموله‌های اضافی را دریافت کرده و در نهایت NetSupport RAT را روی دستگاه‌های آلوده نصب می‌کند.

گمان می‌رود این سایت‌های جعلی از طریق تلاش‌های مهندسی اجتماعی در ایمیل یا شبکه‌های اجتماعی منتشر شوند. اسکریپت‌های PowerShell موجود در سایت‌های جعلی Gitcode طوری طراحی شده‌اند که یک سری اسکریپت‌های PowerShell میانی را از سرور خارجی دانلود کنند که به صورت متوالی برای راه‌اندازی NetSupport RAT استفاده می‌شوند.

DomainTools همچنین چندین وب‌سایت را شناسایی کرد که DocuSign را جعل کرده‌اند تا همان تروجان دسترسی از راه دور را با یک تفاوت ارائه دهند: استفاده از تأییدیه‌های CAPTCHA به سبک ClickFix برای فریب قربانیان جهت اجرای اسکریپت مخرب PowerShell.

کاربرانی که وارد این صفحات می‌شوند، باید با تکمیل بررسی ثابت کنند که ربات نیستند. فعال کردن تأیید CAPTCHA باعث می‌شود یک دستور PowerShell مبهم به صورت مخفیانه در کلیپ‌بورد کاربر کپی شود – تکنیکی که مسمومیت کلیپ‌بورد نامیده می‌شود. سپس به کاربران دستور داده می‌شود که پنجره Windows Run را باز کنند، محتوا را paste کرده و Enter را فشار دهند که باعث اجرای اسکریپت می‌شود.

اسکریپت PowerShell با دانلود یک اسکریپت ماندگاری از GitHub کار می‌کند تا اطمینان حاصل شود که محموله به صورت خودکار هنگام ورود کاربر به سیستم راه‌اندازی می‌شود. DomainTools گفت: “در حالی که این محموله در زمان تحقیق دیگر در دسترس نبود، انتظار می‌رود که از طریق ‘docusign.sa[.]com/verification/c.php’ با سایت تحویل ارتباط برقرار کند.”

این امر منجر به تحویل یک اسکریپت PowerShell مرحله دوم می‌شود که سپس یک محموله ZIP مرحله سوم را از همان سرور دانلود و اجرا می‌کند. اسکریپت آرشیو را باز کرده و فایل اجرایی “jp2launcher.exe” موجود در آن را اجرا می‌کند که در نهایت منجر به استقرار NetSupport RAT می‌شود.

شرکت اعلام کرد: “مراحل متعدد اسکریپت‌هایی که اسکریپت‌های دیگر را دانلود و اجرا می‌کنند، احتمالاً تلاشی برای فرار از شناسایی و مقاوم‌تر بودن در برابر تحقیقات امنیتی است.”

در حال حاضر مشخص نیست چه کسی پشت این کمپین است، اما DomainTools اشاره کرد که الگوهای URL تحویل، نام‌گذاری دامنه و ثبت مشابهی را در ارتباط با کمپین SocGholish که در اکتبر 2024 شناسایی شد، یافته است.

قابل ذکر است که تکنیک‌های مورد استفاده رایج هستند و NetSupport Manager یک ابزار مدیریت قانونی است که توسط گروه‌های تهدید متعددی مانند FIN7، Scarlet Goldfinch، Storm-0408 و دیگران به عنوان RAT مورد استفاده قرار می‌گیرد.