Los analistas de ciberseguridad están alertando sobre una nueva campaña maliciosa activa que utiliza sitios web falsos para distribuir NetSupport RAT, un troyano de acceso remoto que ha sido utilizado previamente por múltiples grupos de amenazas. Esta campaña emplea técnicas avanzadas de ingeniería social y múltiples etapas de ejecución con scripts de PowerShell para comprometer sistemas Windows y establecer persistencia en las máquinas infectadas.
Sitios falsos utilizados como señuelo
El equipo de Investigaciones de DomainTools (DTI) ha identificado una serie de sitios web engañosos que simulan ser plataformas legítimas como Gitcode y DocuSign. Estos dominios fraudulentos están diseñados para atraer a usuarios desprevenidos y convencerlos de ejecutar manualmente scripts maliciosos en sus sistemas, iniciando así la cadena de infección.
Los sitios utilizan mensajes persuasivos para que los usuarios copien y peguen manualmente comandos de PowerShell en el cuadro de diálogo de ejecución de Windows (
1 | Win + R |
). Este método busca evadir soluciones de seguridad automatizadas, aprovechándose de la interacción directa del usuario.
Estructura de la cadena de infección
Según el informe técnico de DomainTools compartido con The Hacker News, la campaña hace uso de una cadena de descarga compuesta por múltiples etapas:
-
El primer script PowerShell es proporcionado al usuario en la página web falsa, que cuando se ejecuta, descarga un segundo script desde un dominio controlado por los atacantes (
1tradingviewtool[.]com).
-
Este segundo script, a su vez, recupera cargas adicionales y ejecuta un archivo que finalmente instala NetSupport RAT en la máquina comprometida.
-
Se ha observado que los scripts alojados en los sitios falsos de Gitcode descargan múltiples scripts intermedios de PowerShell, todos ellos diseñados para evadir la detección y aumentar la resiliencia de la campaña frente a análisis de seguridad
Técnica de verificación CAPTCHA maliciosa
Una variante más sofisticada de esta campaña ha sido identificada en sitios web que suplantan la identidad de DocuSign, como
1 | docusign.sa[.]com |
. Estos sitios utilizan CAPTCHAs falsos estilo ClickFix que, tras ser completados, ejecutan una técnica conocida como envenenamiento del portapapeles.
En este caso, el sistema copia un comando PowerShell ofuscado en el portapapeles del usuario sin su conocimiento. Luego, se le instruye que presione
1 | Win + R |
, pegue (
1 | Ctrl + V |
) y ejecute el comando, lo que activa la cadena maliciosa. Esta táctica ha sido vista también en otras campañas recientes que distribuyen malware como EDDIESTEALER.
Persistencia y carga útil final
El script descargado está diseñado para garantizar persistencia en el sistema infectado. Para ello, intenta descargar y ejecutar un archivo llamado
1 | wbdims.exe |
alojado en GitHub, el cual se asegura de reiniciar el RAT cada vez que el usuario inicia sesión en el equipo.
Aunque este archivo específico no estaba disponible durante la investigación, los expertos creen que su activación redirige el navegador del usuario a otra URL (
1 | docusign.sa[.]com/verification/s.php?an=1 |
), la cual inicia la segunda etapa del ataque: la descarga de un archivo ZIP.
Este archivo comprimido contiene un ejecutable llamado
1 | jp2launcher.exe |
, que es el encargado de instalar NetSupport RAT, completando así el ciclo de infección.
Objetivos y atribución de la campaña
Aún no se ha confirmado quién está detrás de esta campaña maliciosa. Sin embargo, los investigadores han encontrado similitudes entre esta actividad y las técnicas utilizadas por SocGholish (también conocido como FakeUpdates), una amenaza documentada en campañas anteriores.
Además, la herramienta utilizada como carga final, NetSupport Manager, es un software legítimo de administración remota que ha sido reutilizado por actores maliciosos en múltiples campañas. Grupos conocidos como FIN7, Scarlet Goldfinch y Storm-0408 han empleado esta herramienta con fines maliciosos, lo que refuerza la hipótesis de una amenaza bien organizada y con conocimientos avanzados.
Recomendaciones de seguridad
Ante esta amenaza activa, se recomienda a usuarios y administradores de sistemas tomar las siguientes precauciones:
-
Evitar ejecutar scripts de fuentes no verificadas o sitios sospechosos.
-
Deshabilitar PowerShell para usuarios no administrativos si no es necesario.
-
Implementar soluciones EDR capaces de detectar y bloquear ejecución de scripts maliciosos.
-
Realizar monitoreo de red para detectar comunicaciones con dominios sospechosos como
1tradingviewtool[.]com.
-
Capacitar al personal sobre técnicas comunes de ingeniería social, especialmente aquellas que involucran CAPTCHA o comandos manuales.
Esta campaña representa una evolución en el uso del engaño y la manipulación del usuario como vector de infección, lo que la convierte en una amenaza significativa para entornos corporativos y personales por igual. Estar informado y preparado es clave para mitigar riesgos y proteger la infraestructura digital frente a amenazas cada vez más sofisticadas.
Fuente: The Hacker News
