Amenazing Hunter está utilizando sitios web engañosos para advertir nuevas campañas que engañarán a los usuarios desprevenidos para que ejecute scripts de PowerShell maliciosos en sus máquinas e infectarlos con malware en ratas de soporte neto.
El equipo de Investigaciones de Doma -DomaTools (DTI) dijo que identificaron un «descargador de etapas múltiples maliciosas PowerShell script» alojado en un sitio web de Lure se posa como GitCode y Docusign.
«Estos sitios intentan engañar a los usuarios para que copien y ejecuten el primer script PowerShell con el comando Windows Run», dice la compañía en un informe técnico compartido con Hacker News.
«Al hacerlo, el script PowerShell descargará otro script de descarga y lo ejecutará en el sistema. Esto obtendrá la carga útil adicional y eventualmente instalará la rata de soporte neto en la máquina infectada».
Se cree que estos sitios falsificados son posibles para ser propagados a través de intentos de correo electrónico e ingeniería social a través de plataformas de redes sociales.
Alojados en sitios falsos de Código de Git, los scripts de PowerShell están diseñados para descargar una serie de scripts de PowerShell intermedios de un servidor externo («TradingViewTool (.) Com») que se usa consecutivamente para iniciar ratas de soporte neto en la máquina víctima.
DomaTools también ha identificado varios sitios web (docusign.sa (.) Com) que falsifica Docusign para proporcionar el mismo troyano de acceso remoto, pero con un giro, utilizando la validación de Captcha de estilo ClickFix para ejecutar guiones de PowerShell maliciosos utilizando víctimas en víctimas de Dupe.
Al igual que la cadena de ataque recientemente documentada que ofrece a EddiDeSpaler InfoTealer, se les pide a los usuarios que aterrizan en la página que demuestren que no son robots al completar el cheque.
Activar una validación de Captcha copiará en secreto los comandos de PowerShell ofuscados al portapapeles del usuario (una tecnología conocida como adicción al portapapeles).
El script de PowerShell descarga el script de persistencia («wbdims.exe») de GitHub y funciona, asegurando que la carga útil se inicie automáticamente cuando el usuario inicia sesión en el sistema.
«Esta carga útil no está disponible durante la investigación, pero lo que podemos esperar es registrarse en el sitio de entrega a través de ‘docusign.sa (.) Com/verificación/c.php'», dijo Domainteols. «Por lo tanto, activará una actualización en el navegador de la página y mostrará el contenido en ‘docusign.sa (.) Com/verificación/s.php? An = 1.’ » » ‘com/verificación/s.php».
Esto entregará un script de dos etapas de PowerShell y descargará y ejecutará una carga útil de tres etapas del mismo servidor configurando el parámetro de URL «y» a «2.» El script desempaqueta el archivo y ejecuta un archivo ejecutable llamado «JP2LAUNCHER.EXE» que reside dentro de él, lo que finalmente conduce a la implementación de la Rata de soporte neto.
«Es probable que las múltiples etapas de los scripts que descarguen y ejecutan los scripts descargar y ejecutar los intentos de evitar la detección y aumentar la resiliencia a través de investigaciones de seguridad y derribos», dijo la compañía.
No está claro quién está actualmente detrás de la campaña, pero Domainteols señaló que han identificado URL de distribución similares, nombres de dominios y patrones de registro en relación con la campaña Socgholish (también conocida como FakeUpdates) detectada en octubre de 2024.
«Las tecnologías involucradas son particularmente comunes y los gerentes de soporte de NETS son herramientas de gestión legítimas que se sabe que son utilizadas como ratas por múltiples grupos de amenazas como FIN7, Scarlet Goldfinch y Storm-0408».
Source link
