脅威ハンターたちは、新たなキャンペーンに警戒を呼びかけています。このキャンペーンは、欺瞞的なウェブサイトを利用して、無防備なユーザーを騙し、彼らのマシンで悪意のあるPowerShellスクリプトを実行させ、NetSupport RATマルウェアに感染させるものです。
DomainTools Investigations (DTI)チームは、GitcodeやDocuSignを装った誘導サイトにホストされている「悪意のある多段階ダウンローダーPowerShellスクリプト」を特定したと述べました。
「これらのサイトは、ユーザーを騙してWindowsの実行コマンドで最初のPowerShellスクリプトをコピーして実行させようとします」と、同社はThe Hacker Newsに共有した技術報告書で述べました。
「そうすることで、PowerShellスクリプトは別のダウンローダースクリプトをダウンロードしてシステムで実行し、さらに追加のペイロードを取得して実行し、最終的に感染したマシンにNetSupport RATをインストールします。」
これらの偽サイトは、メールやソーシャルメディアプラットフォームを通じたソーシャルエンジニアリングの試みで広まっている可能性があります。
偽のGitcodeサイトにホストされているPowerShellスクリプトは、被害者のマシンでNetSupport RATを起動するために連続して使用される中間PowerShellスクリプトを外部サーバー(”tradingviewtool[.]com”)からダウンロードするように設計されています。
DomainToolsは、同じリモートアクセス型トロイの木馬を配信するためにDocuSignを偽装したいくつかのウェブサイト(例: docusign.sa[.]com)も特定しましたが、ひねりを加えています:ClickFixスタイルのCAPTCHA検証を使用して、被害者を騙して悪意のあるPowerShellスクリプトを実行させます。
最近記録されたEDDIETEALER情報窃取ツールを配信する攻撃チェーンのように、ページにアクセスしたユーザーはチェックを完了してロボットではないことを証明するよう求められます。
CAPTCHA検証をトリガーすると、難読化されたPowerShellコマンドがユーザーのクリップボードに密かにコピーされるクリップボード中毒と呼ばれる手法が使われ、その後、Windowsの実行ダイアログ(”Win + R”)を起動し、貼り付け(”CTRL + V”)してEnterキーを押すよう指示され、スクリプトが実行されます。
PowerShellスクリプトは、GitHubから永続性スクリプト(”wbdims.exe”)をダウンロードして、ユーザーがシステムにログインする際にペイロードが自動的に起動するようにします。
「調査時点ではこのペイロードは利用できなくなっていましたが、期待されるのは’docusign.sa[.]com/verification/c.php’を通じて配信サイトとチェックインすることです」とDomainToolsは述べました。「そうすることで、ブラウザのページが’docusign.sa[.]com/verification/s.php?an=1’のコンテンツを表示するためにリフレッシュされます。」
これにより、同じサーバーから3段階目のZIPペイロードをダウンロードして実行する2段階目のPowerShellスクリプトが配信され、URLパラメータ”an”を”2″に設定します。スクリプトはアーカイブを解凍し、その中にある”jp2launcher.exe”という実行ファイルを実行し、最終的にNetSupport RATの展開に至ります。
「スクリプトがスクリプトをダウンロードして実行し、さらにスクリプトをダウンロードして実行する多段階のプロセスは、検出を回避し、セキュリティ調査やテイクダウンに対してより耐性を持たせる試みである可能性が高いです」と同社は述べました。
現在、このキャンペーンの背後にいる人物は不明ですが、DomainToolsは、2024年10月に検出されたSocGholish(別名FakeUpdates)キャンペーンに関連する類似の配信URL、ドメイン命名、登録パターンを特定したと指摘しました。
「特に、関与している技術は一般的であり、NetSupport Managerは、FIN7、Scarlet Goldfinch、Storm-0408などの複数の脅威グループによってRATとして利用されることが知られている正当な管理ツールです。」
翻訳元: https://thehackernews.com/2025/06/fake-docusign-gitcode-sites-spread.html