Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Вредоносная кампания маскирует  вредоносные сайты под службы Gitcode и DocuSign

04/06/25

 

images - 2025-06-04T134631.807

Их цель — обманным путём убедить пользователей вручную выполнить PowerShell-скрипт, который устанавливает удалённое администрирование NetSupport RAT на компьютере жертвы, пишет Securitylab.

Атака начинается с захода пользователя на поддельный сайт, сделаный под обычную платформу. Сайт показывает окно с проверкой CAPTCHA, предлагая пройти якобы стандартную процедуру верификации.

Однако при этом в буфер обмена незаметно копируется PowerShell-команда — техника, известная как отравление буфера обмена (Clipboard Poisoning). Далее пользователю даются простые инструкции: открыть окно выполнения («Win + R»), вставить содержимое буфера («Ctrl + V») и нажать Enter. Эта техника известна как «ClickFix».

После запуска скрипта начинается каскадная загрузка вредоносных компонентов. Изначально исполняется загрузчик, который скачивает промежуточный скрипт с внешнего ресурса «tradingviewtool[.]com». Далее PowerShell-последовательность загружает дополнительный исполняемый файл «wbdims.exe» с GitHub, который обеспечивает запуск вредоносного ПО при каждом входе пользователя в систему. Этот файл связывается с сервером «docusign.sa[.]com», инициируя подгрузку нового скрипта и отображение контента через параметризованные ссылки.

Финальный этап атаки включает в себя загрузку ZIP-архива, содержащего исполняемый файл «jp2launcher.exe». Его запуск приводит к установке NetSupport RAT — легитимного инструмента удалённого администрирования, который давно и активно используется киберпреступными группировками как средство удалённого контроля над заражёнными системами. В числе таких групп называются FIN7, Scarlet Goldfinch и Storm-0408.

Главная особенность этой атаки — многоступенчатая цепочка PowerShell-скриптов, каждый из которых загружает и запускает следующий. Такой подход значительно затрудняет обнаружение и блокировку на ранних этапах, а также увеличивает устойчивость к анализу и устранению.

DomainTools также отмечает, что структура доменов и способы доставки вредоносов во многом напоминают другую кампанию — SocGholish (известную также как FakeUpdates). В обеих операциях использовались схожие техники социальной инженерии, регистрационные шаблоны доменов и модели заражения.

Судя по текущим признакам, распространение ссылок на поддельные сайты осуществляется через электронную почту и социальные сети, где злоумышленники убеждают пользователей перейти по ссылке и выполнить неочевидные, но вредоносные действия на своём устройстве.

Темы:УгрозыRATCAPTCHADomainTools
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...