Negli ultimi tempi è stata rilevata una nuova campagna informatica che sfrutta siti web fraudolenti per indurre le vittime a eseguire script dannosi PowerShell, con l’obiettivo finale di installare il malware NetSupport RAT sui dispositivi compromessi. Questa attività malevola è stata scoperta dal team di DomainTools Investigations, che ha identificato una serie di script PowerShell multi-stage ospitati su siti falsi che imitano piattaforme note come Gitcode e DocuSign.

Questi siti truffaldini utilizzano tecniche di ingegneria sociale per convincere gli utenti ad avviare manualmente uno script PowerShell tramite la funzione “Esegui” di Windows. Il primo script scaricato si occupa di recuperare e avviare ulteriori script intermedi, che a loro volta portano al download e all’esecuzione di ulteriori payload, fino a completare l’installazione del trojan NetSupport RAT.

Le principali tecniche e fasi della campagna

Le finte pagine Gitcode sono progettate per scaricare vari script PowerShell da domini gestiti dagli attaccanti, come tradingviewtool[.]com, in una catena progressiva che culmina con il controllo remoto del computer infetto. Nel caso dei siti che impersonano DocuSign, il processo include una truffa ulteriore: le vittime vengono sottoposte a una verifica CAPTCHA in stile ClickFix per dimostrare di non essere robot. Completando questa verifica, un comando PowerShell offuscato viene copiato automaticamente negli appunti della vittima (clipboard poisoning). Gli utenti vengono poi istruiti a incollare e avviare tale comando nella finestra “Esegui”, attivando così l’infezione.

Il primo script scarica un file di persistenza (“wbdims.exe”) da GitHub, assicurandosi che il payload venga eseguito a ogni login. Successivamente il sistema contatta una pagina controllata dagli attaccanti, che invia un secondo script PowerShell. Questo scarica e decomprime un archivio ZIP che contiene un eseguibile (“jp2launcher.exe”), la cui esecuzione porta all’installazione definitiva di NetSupport RAT.

Obiettivi e caratteristiche della catena d’attacco

Questa struttura multi-stage, in cui ogni script ne scarica e avvia altri in sequenza, è pensata per rendere più difficile il rilevamento da parte delle soluzioni di sicurezza e aumentare la resilienza contro le indagini forensi. Secondo DomainTools, sono state riscontrate somiglianze tra questa campagna e precedenti attacchi SocGholish (FakeUpdates), sia per i nomi di dominio che per le modalità di distribuzione. Va sottolineato che NetSupport RAT è uno strumento di amministrazione remota legittimo che viene spesso sfruttato da gruppi di cybercriminali come FIN7, Scarlet Goldfinch e Storm-0408 per il controllo a distanza dei sistemi colpiti.