Их цель — обманным путём убедить пользователей вручную выполнить PowerShell-скрипт, который устанавливает удалённое администрирование NetSupport RAT на компьютере жертвы, пишет Securitylab.
Атака начинается с захода пользователя на поддельный сайт, сделаный под обычную платформу. Сайт показывает окно с проверкой CAPTCHA, предлагая пройти якобы стандартную процедуру верификации.
Однако при этом в буфер обмена незаметно копируется PowerShell-команда — техника, известная как отравление буфера обмена (Clipboard Poisoning). Далее пользователю даются простые инструкции: открыть окно выполнения («Win + R»), вставить содержимое буфера («Ctrl + V») и нажать Enter. Эта техника известна как «ClickFix».
После запуска скрипта начинается каскадная загрузка вредоносных компонентов. Изначально исполняется загрузчик, который скачивает промежуточный скрипт с внешнего ресурса «tradingviewtool[.]com». Далее PowerShell-последовательность загружает дополнительный исполняемый файл «wbdims.exe» с GitHub, который обеспечивает запуск вредоносного ПО при каждом входе пользователя в систему. Этот файл связывается с сервером «docusign.sa[.]com», инициируя подгрузку нового скрипта и отображение контента через параметризованные ссылки.
Финальный этап атаки включает в себя загрузку ZIP-архива, содержащего исполняемый файл «jp2launcher.exe». Его запуск приводит к установке NetSupport RAT — легитимного инструмента удалённого администрирования, который давно и активно используется киберпреступными группировками как средство удалённого контроля над заражёнными системами. В числе таких групп называются FIN7, Scarlet Goldfinch и Storm-0408.
Главная особенность этой атаки — многоступенчатая цепочка PowerShell-скриптов, каждый из которых загружает и запускает следующий. Такой подход значительно затрудняет обнаружение и блокировку на ранних этапах, а также увеличивает устойчивость к анализу и устранению.
DomainTools также отмечает, что структура доменов и способы доставки вредоносов во многом напоминают другую кампанию — SocGholish (известную также как FakeUpdates). В обеих операциях использовались схожие техники социальной инженерии, регистрационные шаблоны доменов и модели заражения.
Судя по текущим признакам, распространение ссылок на поддельные сайты осуществляется через электронную почту и социальные сети, где злоумышленники убеждают пользователей перейти по ссылке и выполнить неочевидные, но вредоносные действия на своём устройстве.