Если уж заражаться RAT, то хотя бы из буфера — красиво, быстро, эффектно
NewsMakerОдин неловкий «Ctrl+V» — и ты уже в чьей-то удалённой панели.
Специалисты из команды DomainTools сообщили о новой вредоносной кампании, в рамках которой активно эксплуатируются поддельные сайты, маскирующиеся под популярные сервисы Gitcode и DocuSign. Их цель — обманным путём убедить пользователей вручную выполнить PowerShell-скрипт, который устанавливает удалённое администрирование NetSupport RAT на компьютере жертвы.
Атака начинается с захода пользователя на поддельный сайт, стилизованный под легитимную платформу. Сайт показывает окно с проверкой CAPTCHA, предлагая пройти якобы стандартную процедуру верификации. Однако при этом в буфер обмена незаметно копируется PowerShell-команда — техника, известная как отравление буфера обмена (Clipboard Poisoning). Далее пользователю даются простые инструкции: открыть окно выполнения («Win + R»), вставить содержимое буфера («Ctrl + V») и нажать Enter. Эта техника известна как «ClickFix» .
После запуска скрипта начинается каскадная загрузка вредоносных компонентов. Изначально исполняется загрузчик, который скачивает промежуточный скрипт с внешнего ресурса «tradingviewtool[.]com». Далее PowerShell-последовательность загружает дополнительный исполняемый файл «wbdims.exe» с GitHub, который обеспечивает запуск вредоносного ПО при каждом входе пользователя в систему. Этот файл связывается с сервером «docusign.sa[.]com», инициируя подгрузку нового скрипта и отображение контента через параметризованные ссылки.
Финальный этап атаки включает в себя загрузку ZIP-архива, содержащего исполняемый файл «jp2launcher.exe». Его запуск приводит к установке NetSupport RAT — легитимного инструмента удалённого администрирования, который давно и активно используется киберпреступными группировками как средство удалённого контроля над заражёнными системами. В числе таких групп называются FIN7, Scarlet Goldfinch и Storm-0408.
Главная особенность этой атаки — многоступенчатая цепочка PowerShell-скриптов, каждый из которых загружает и запускает следующий. Такой подход значительно затрудняет обнаружение и блокировку на ранних этапах, а также увеличивает устойчивость к анализу и устранению.
DomainTools также отмечает, что структура доменов и способы доставки вредоносов во многом напоминают другую кампанию — SocGholish (известную также как FakeUpdates). В обеих операциях использовались схожие техники социальной инженерии, регистрационные шаблоны доменов и модели заражения.
Судя по текущим признакам, распространение ссылок на поддельные сайты осуществляется через электронную почту и социальные сети, где злоумышленники убеждают пользователей перейти по ссылке и выполнить неочевидные, но вредоносные действия на своём устройстве.
NetSupport RAT остаётся излюбленным инструментом у киберпреступников, поскольку позволяет полностью контролировать систему, включая запись экрана, отправку файлов, удалённое выполнение команд и доступ к чувствительным данным.
Специалисты из команды DomainTools сообщили о новой вредоносной кампании, в рамках которой активно эксплуатируются поддельные сайты, маскирующиеся под популярные сервисы Gitcode и DocuSign. Их цель — обманным путём убедить пользователей вручную выполнить PowerShell-скрипт, который устанавливает удалённое администрирование NetSupport RAT на компьютере жертвы.
Атака начинается с захода пользователя на поддельный сайт, стилизованный под легитимную платформу. Сайт показывает окно с проверкой CAPTCHA, предлагая пройти якобы стандартную процедуру верификации. Однако при этом в буфер обмена незаметно копируется PowerShell-команда — техника, известная как отравление буфера обмена (Clipboard Poisoning). Далее пользователю даются простые инструкции: открыть окно выполнения («Win + R»), вставить содержимое буфера («Ctrl + V») и нажать Enter. Эта техника известна как «ClickFix» .
После запуска скрипта начинается каскадная загрузка вредоносных компонентов. Изначально исполняется загрузчик, который скачивает промежуточный скрипт с внешнего ресурса «tradingviewtool[.]com». Далее PowerShell-последовательность загружает дополнительный исполняемый файл «wbdims.exe» с GitHub, который обеспечивает запуск вредоносного ПО при каждом входе пользователя в систему. Этот файл связывается с сервером «docusign.sa[.]com», инициируя подгрузку нового скрипта и отображение контента через параметризованные ссылки.
Финальный этап атаки включает в себя загрузку ZIP-архива, содержащего исполняемый файл «jp2launcher.exe». Его запуск приводит к установке NetSupport RAT — легитимного инструмента удалённого администрирования, который давно и активно используется киберпреступными группировками как средство удалённого контроля над заражёнными системами. В числе таких групп называются FIN7, Scarlet Goldfinch и Storm-0408.
Главная особенность этой атаки — многоступенчатая цепочка PowerShell-скриптов, каждый из которых загружает и запускает следующий. Такой подход значительно затрудняет обнаружение и блокировку на ранних этапах, а также увеличивает устойчивость к анализу и устранению.
DomainTools также отмечает, что структура доменов и способы доставки вредоносов во многом напоминают другую кампанию — SocGholish (известную также как FakeUpdates). В обеих операциях использовались схожие техники социальной инженерии, регистрационные шаблоны доменов и модели заражения.
Судя по текущим признакам, распространение ссылок на поддельные сайты осуществляется через электронную почту и социальные сети, где злоумышленники убеждают пользователей перейти по ссылке и выполнить неочевидные, но вредоносные действия на своём устройстве.
NetSupport RAT остаётся излюбленным инструментом у киберпреступников, поскольку позволяет полностью контролировать систему, включая запись экрана, отправку файлов, удалённое выполнение команд и доступ к чувствительным данным.