Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Многоэтапная атака с фальшивыми Git и Docusign запускает NetSupport RAT

3 мин
Недавний отчет раскрывает масштабную вредоносную кампанию, в ходе которой злоумышленники применяют мошеннические веб-сайты, включая поддельные Git-коды и подделки страниц подтверждения Docusign. Целью атаки является обман пользователей с последующим запуском вредоносных сценариев PowerShell на их Windows-системах, что приводит к инсталляции троянской программы удаленного доступа NetSupport RAT. Главным инструментом злоумышленников выступают заражённые веб-платформы, на которых размещён вредоносный скрипт PowerShell. Жертвам предлагается скопировать этот скрипт и запустить его через командную строку Windows. В результате инициируется многоуровневый процесс загрузки, позднее приводящий к установке NetSupport RAT. Ключевые этапы вредоносной цепочки выглядят следующим образом: Сайт «Gitcodes — инструмент для вставки # 1 с 2002 года!» был обнаружен с внедрённым вредоносным скриптом PowerShell, который: Встречаются и другие домены, включая поддельные сайты Docusign, где используется похожая
Оглавление

Недавний отчет раскрывает масштабную вредоносную кампанию, в ходе которой злоумышленники применяют мошеннические веб-сайты, включая поддельные Git-коды и подделки страниц подтверждения Docusign. Целью атаки является обман пользователей с последующим запуском вредоносных сценариев PowerShell на их Windows-системах, что приводит к инсталляции троянской программы удаленного доступа NetSupport RAT.

Механизм атаки: от поддельных страниц к установке NetSupport RAT

Главным инструментом злоумышленников выступают заражённые веб-платформы, на которых размещён вредоносный скрипт PowerShell. Жертвам предлагается скопировать этот скрипт и запустить его через командную строку Windows. В результате инициируется многоуровневый процесс загрузки, позднее приводящий к установке NetSupport RAT.

Ключевые этапы вредоносной цепочки выглядят следующим образом:

  • Исходный PowerShell-скрипт загружает скрипт второго этапа.
  • Второй скрипт выступает в роли загрузчика, отправляя множество web-запросов для получения скриптов третьего этапа с различных доменов.
  • На завершающем этапе на заражённом компьютере запускается NetSupport RAT.

Пример поддельного сайта Gitcodes

Сайт «Gitcodes — инструмент для вставки # 1 с 2002 года!» был обнаружен с внедрённым вредоносным скриптом PowerShell, который:

  • Запутывает процесс сбора доменов для обеспечения устойчивости вредоносного ПО.
  • Изменяет системный реестр Windows, чтобы обеспечить автозапуск NetSupport RAT при входе пользователя в систему.

Поддельные страницы Docusign: особенности вредоносной загрузки

Встречаются и другие домены, включая поддельные сайты Docusign, где используется похожая многоэтапная загрузка скриптов. Особенно заметна страница docusign.sa.com/verification/s.php. Её содержимое изначально закодировано с помощью ROT13, что представляет собой метод обфускации для снижения вероятности обнаружения.

Страница имитирует проверку пользователя через CAPTCHA, а после взаимодействия:

  • Вредоносный PowerShell-скрипт копируется в буфер обмена пользователя.
  • Пользователя побуждают вставить скопированный код в окно запуска Windows, что инициирует очередной загрузчик.
  • Запускается цепочка взаимодействий с сервером управления и переписки (C2).
  • В конечном итоге скачивается, распаковывается и запускается файл jp2launcher.exe, который устанавливает NetSupport RAT.

Методы распространения и скрытность

Распространение поддельного сайта Docusign, вероятно, осуществлялось через фишинговые кампании по электронной почте и в социальных сетях. Хотя кодировка ROT13 обеспечивает базовый уровень скрытности, анализ вредоносного кода выявил существование типичных индикаторов, таких как согласованные строки и комментарии в PHP-скриптах, что помогает в уникальной идентификации кампании.

Связь с хакерскими группировками и значимость NetSupport Manager

Обнаруженные методы и операционные шаблоны сходны с ранее известными действиями группы SocGholish. Примечательно, что NetSupport Manager, являющийся легальным средством удалённого администрирования, широко перепрофилируется хакерами — такими, как FIN7 и STORM-0408 — в опасный троян удалённого доступа.

Это свидетельствует о том, что данная вредоносная кампания:

  • Использует многоуровневые стратегии исполнения, сложные для обнаружения.
  • Базируется на социальной инженерии и обмане пользователей.
  • Обеспечивает высокую устойчивость вредоносного ПО к реагированию служб безопасности.

Выводы

Вредоносная кампания, описанная в отчете, демонстрирует современные тренды киберугроз — сочетание социальной инженерии с многоэтапными загрузчиками и ретрансляцией легитимных инструментов в инструменты для атаки. Для защиты от подобных атак рекомендуется:

  • Осторожно относиться к копированию и запуску незнакомых скриптов через командную строку.
  • Использовать многофакторную аутентификацию и обновляющиеся антивирусные продукты.
  • Обучать пользователей распознаванию поддельных веб-ресурсов и фишинговых сообщений.

Тщательный анализ подобных инцидентов поможет повысить осведомлённость и укрепить безопасность корпоративных и домашних систем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Многоэтапная атака с фальшивыми Git и Docusign запускает NetSupport RAT".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.