Uma nova campanha de malware está explorando sites falsos de DocuSign e Gitcode para disseminar o NetSupport RAT, um trojan de acesso remoto disfarçado de ferramenta legítima. Através de uma cadeia de scripts PowerShell em múltiplas etapas, cibercriminosos induzem usuários a executarem comandos maliciosos diretamente via atalho “Win + R”. Essa tática representa um avanço nas estratégias de ataques multiestágios com PowerShell, cada vez mais usados para burlar defesas e análises forenses.
Sites falsos de DocuSign e Gitcode distribuem NetSupport RAT via ataque PowerShell em múltiplas fases
A mecânica do ataque: engenharia social e scripts em cadeia
De acordo com uma investigação da DomainTools (DTI), os operadores da campanha estão utilizando páginas fraudulentas com aparência idêntica às do Gitcode e DocuSign, levando os usuários a copiar manualmente comandos PowerShell sob a falsa promessa de uma verificação legítima.
O ataque é desencadeado da seguinte forma:
- Engenharia social: Usuários são induzidos a provar que “não são robôs” por meio de um CAPTCHA falso (ClickFix).
- Envenenamento da área de transferência: O CAPTCHA copia um comando PowerShell ofuscado para a área de transferência.
- Execução manual: A vítima é instruída a abrir o “Executar” (Win + R), colar o comando e pressionar Enter.
- Download em cadeia: O script inicial busca outros scripts hospedados em servidores externos, como
tradingviewtool[.]com. - Entrega da carga maliciosa: O processo culmina no download de um ZIP contendo o executável
jp2launcher.exe, que implanta o NetSupport RAT.
O que é o NetSupport RAT?
O NetSupport RAT (Remote Access Trojan) é baseado na ferramenta legítima NetSupport Manager, usada para administração remota. No entanto, cibercriminosos como os grupos FIN7, Scarlet Goldfinch e Storm-0408 vêm adaptando essa solução para controlar sistemas infectados, roubar dados e instalar cargas adicionais sem consentimento.
Por ser um software legítimo, o NetSupport RAT escapa de muitas detecções antivírus, o que o torna altamente perigoso em campanhas sofisticadas como essa.
Persistência e evasão
Um dos scripts intermediários baixa o executável wbdims.exe via GitHub — uma estratégia para garantir persistência no sistema, fazendo com que a carga maliciosa seja executada toda vez que o usuário fizer login.
Além disso, a sequência encadeada de downloads (scripts que baixam scripts que baixam scripts) dificulta a análise estática e dinâmica, aumentando a resiliência da campanha contra bloqueios, remoções de domínios ou mudanças de infraestrutura.
“Os múltiplos estágios visam evitar a detecção e tornar o ataque mais resistente à análise e mitigação”, alertou a DomainTools.
Ligações com campanhas anteriores
A estrutura dos domínios, padrões de URL e comportamento de execução mostram similaridades com a campanha SocGholish (FakeUpdates), documentada em outubro de 2024. Nela, scripts maliciosos eram também entregues por meio de engenharia social com aparência de atualizações falsas de navegador.
Essas táticas têm se popularizado entre cibercriminosos que buscam burlar controles automatizados e depender da interação humana para iniciar a infecção.
Conclusão
O uso de PowerShell em múltiplos estágios aliado a sites falsificados convincentes representa uma ameaça crescente, especialmente diante da popularização de ferramentas legítimas usadas como malware. O caso evidencia a importância de educação em segurança cibernética, especialmente sobre os riscos de copiar comandos sugeridos por sites desconhecidos.
Organizações devem reforçar monitoramento de scripts PowerShell, bloquear domínios maliciosos emergentes e alertar seus usuários sobre essas novas abordagens de engenharia social.
