Tehdit avcıları, şüphesiz kullanıcıları makinelerinde kötü niyetli PowerShell komut dosyaları yürütmeleri ve Netsupport faresi kötü amaçlı yazılımlarıyla bulaşmaya yönelik aldatıcı web sitelerini kullanan yeni bir kampanyaya uyarıyorlar.
Domaintools Araştırmaları (DTI) ekibi, GitCode ve DocUSign olarak maskelenen lure web sitelerinde barındırılan kötü amaçlı çok aşamalı indirici PowerShell betiğini belirlediğini söyledi.
Hacker News ile paylaşılan teknik bir raporda, “Bu siteler, Windows Run komutlarında ilk PowerShell komut dosyasını kopyalamaya ve çalıştırmaya çalıştırmaya çalışıyor.” Dedi.
“Bunu yaptıktan sonra, PowerShell komut dosyası başka bir indirici komut dosyası indirir ve sistemde yürütür, bu da ek yükleri alır ve sonunda enfekte makinelere NetSupport Rat’ı yükler.”
Bu sahte sitelerin e -posta ve/veya sosyal medya platformları üzerindeki sosyal mühendislik denemeleri yoluyla yayılabileceğine inanılmaktadır.
Sahte Gitcode sitelerinde barındırılan PowerShell komut dosyaları, harici bir sunucudan bir dizi ara PowerShell komut dosyasını indirmek için tasarlanmıştır (“TradingViewTool[.]com “) kurban makinelerinde netsupport sıçanını başlatmak için art arda kullanılan.
Domaintools, Docusign’ı sahte bir web sitesi de belirlediğini söyledi (örn. DocuSign.sa[.]com) aynı uzaktan erişim Truva atı sunmak, ancak bir bükülme ile: Dupe kurbanlarına kötü niyetli PowerShell betiğini çalıştırmak için ClickFix tarzı captcha doğrulamalarını kullanmak.
Eddiestealer Infostealer’ı teslim eden yakın zamanda belgelenen saldırı zincirleri gibi, sayfalara inen kullanıcılardan çek tamamlayarak bir robot olmadıklarını kanıtlamaları istenir.
CAPTCHA doğrulamasının tetiklenmesi, şaşkın bir PowerShell komutunun kullanıcının panosuna gizlice kopyalanmasına neden olur – pano zehirlenmesi adı verilen bir teknik – daha sonra Windows Run iletişim kutusu (“Win + R”), macun (“CTRL + V”) ve süreçte yürütülecek komut dosyasını başlatmaları talimatı verilir.
PowerShell komut dosyası, kullanıcı sisteme oturum açtığında yükün otomatik olarak başlatıldığından emin olmak için GitHub’dan bir kalıcılık komut dosyası (“WBDIMS.EXE”) indirerek çalışır.
“Bu yük artık soruşturma sırasında mevcut olmasa da, beklenti, teslimat sitesi ile ‘Docusign.sa[.]com/doğrulama/c.php, ‘”dedi Domaintools.” Bunu yaptıktan sonra,’ Docusign.sa[.]com/doğrulama/s.php? An = 1. ‘”
Bu, ikinci aşamalı bir PowerShell komut dosyasının dağıtımıyla sonuçlanır ve daha sonra URL parametresini “bir”. Komut dosyası arşivi açmaya ve içinde mevcut “jp2launcher.exe” adlı bir yürütülebilir dosyayı çalıştırmaya devam ederek sonuçta Netsupport sıçanının konuşlandırılmasına yol açar.
Şirket, “Daha fazla komut dosyasını indiren ve çalıştıran senaryoları indirip çalıştıran komut dosyalarının çoklu aşamaları, muhtemelen algılamadan kaçınma ve güvenlik soruşturmalarına ve yayından kaldırma işlemlerine daha dayanıklı olma girişimidir.” Dedi.
Şu anda kampanyanın arkasında kimin olduğu açık değil, ancak Domaintools, Ekim 2024’te tespit edilen bir Socgholish (FakeUpdates) kampanyasıyla bağlantılı olarak benzer teslimat URL’si, alan adlandırma ve kayıt kalıplarını belirlediğine dikkat çekti.
“Özellikle, ilgili teknikler yaygındır ve Netsupport Manager, FIN7, Scarlet Goldfinch, Storm-0408 ve diğerleri gibi birçok tehdit grubu tarafından sıçan olarak kullanıldığı bilinen meşru bir yönetim aracıdır.”