Les chasseurs de menaces alertent sur une nouvelle campagne qui utilise des sites Web trompeurs pour inciter les utilisateurs sans méfiance à exécuter des scripts PowerShell malveillants sur leurs machines et à les infecter avec le malware NetSupport RAT .

L’équipe DomainTools Investigations (DTI) a déclaré avoir identifié des « scripts Powershell de téléchargement multi-étapes malveillants » hébergés sur des sites Web leurres se faisant passer pour Gitcode et DocuSign.

« Ces sites tentent de tromper les utilisateurs en les incitant à copier et à exécuter un script PowerShell initial sur leur commande Windows Run », a déclaré la société dans un rapport technique partagé avec The Hacker News.

« Ce faisant, le script PowerShell télécharge un autre script de téléchargement et s’exécute sur le système, qui à son tour récupère des charges utiles supplémentaires et les exécute, installant finalement NetSupport RAT sur les machines infectées. »

On pense que ces sites contrefaits peuvent être propagés via des tentatives d’ingénierie sociale par courrier électronique et/ou sur les plateformes de médias sociaux.

Les scripts PowerShell présents hébergés sur les faux sites Gitcode sont conçus pour télécharger une série de scripts PowerShell intermédiaires à partir d’un serveur externe (« tradingviewtool[.]com ») qui sont utilisés successivement pour lancer NetSupport RAT sur les machines victimes.

DomainTools a déclaré avoir également identifié plusieurs sites Web usurpant l’identité de Docusign (par exemple, docusign.sa[.]com) pour diffuser le même cheval de Troie d’accès à distance, mais avec une variante : l’utilisation de vérifications CAPTCHA de style ClickFix pour inciter les victimes à exécuter le script PowerShell malveillant.

Tout comme les chaînes d’attaque récemment documentées qui délivrent le voleur d’informations EDDIESTEALER, les utilisateurs qui atterrissent sur les pages sont invités à prouver qu’ils ne sont pas un robot en complétant la vérification.

Le déclenchement de la vérification CAPTCHA entraîne la copie clandestine d’une commande PowerShell obscurcie dans le presse-papiers de l’utilisateur (une technique appelée empoisonnement du presse-papiers), après quoi il est invité à lancer la boîte de dialogue Exécuter de Windows (« Win + R »), à coller (« CTRL + V ») et à appuyer sur Entrée, ce qui provoque l’exécution du script dans le processus.

Le script PowerShell fonctionne en téléchargeant un script de persistance (« wbdims.exe ») depuis GitHub pour garantir que la charge utile est lancée automatiquement lorsque l’utilisateur se connecte au système.

« Bien que cette charge utile n’était plus disponible au moment de l’enquête, elle devrait se connecter au site de livraison via ‘docusign.sa[.]com/verification/c.php’ », a déclaré DomainTools. « Lorsque cela se produit, une actualisation du navigateur est déclenchée pour que la page affiche le contenu de ‘docusign.sa[.]com/verification/s.php?an=1’. »

Cela entraîne la livraison d’un script PowerShell de deuxième étape, qui télécharge et exécute ensuite une charge utile ZIP de troisième étape depuis le même serveur en définissant le paramètre d’URL « an » sur « 2 ». Le script décompresse ensuite l’archive et exécute un exécutable nommé « jp2launcher.exe » présent dans celle-ci, ce qui conduit finalement au déploiement de NetSupport RAT.

« Les multiples étapes de téléchargement et d’exécution de scripts qui téléchargent et exécutent encore plus de scripts constituent probablement une tentative d’échapper à la détection et d’être plus résilient aux enquêtes de sécurité et aux démantèlements », a déclaré la société.

On ne sait pas encore clairement qui est derrière la campagne, mais DomainTools a souligné qu’il avait identifié des URL de livraison, des noms de domaine et des modèles d’enregistrement similaires en lien avec une campagne SocGholish (alias FakeUpdates) détectée en octobre 2024.

« Il est à noter que les techniques impliquées sont courantes et que NetSupport Manager est un outil d’administration légitime connu pour être utilisé comme RAT par de nombreux groupes de menaces tels que FIN7 , Scarlet Goldfinch , Storm-0408 et d’autres. »