Expertos en ciberseguridad están encendiendo las alarmas sobre una nueva campaña maliciosa que está usando sitios web falsos para engañar a la gente y hacer que ejecuten scripts de PowerShell sin saber que, en realidad, están dejando la puerta abierta a un malware llamado NetSupport RAT.
Campaña de malware usa sitios falsos y PowerShell para atacar usuarios
El equipo de investigación de DomainTools (DTI) descubrió que estos sitios fraudulentos, que imitan plataformas conocidas como Gitcode y DocuSign, alojan scripts de PowerShell que se descargan en varias etapas. Todo empieza con un simple comando que parece inofensivo, pero que desencadena una cadena de descargas hasta instalar por completo el malware en el sistema.
Estos sitios están diseñados para convencer a las personas de copiar y ejecutar un comando de PowerShell directamente desde el cuadro de “Ejecutar” en Windows. Al hacerlo, el script inicial activa otro script que, a su vez, descarga más componentes maliciosos. El proceso termina con la instalación de NetSupport RAT, una herramienta que permite a los atacantes tomar el control del equipo afectado.
Se sospecha que esta campaña se propaga principalmente a través de correos electrónicos fraudulentos y mensajes en redes sociales, donde los usuarios hacen clic en enlaces aparentemente legítimos que los dirigen a estos sitios peligrosos.
En particular, los sitios falsos que imitan a Gitcode están configurados para descargar una secuencia de scripts adicionales desde un servidor remoto identificado como tradingviewtool[.]com. Estos scripts se ejecutan en orden hasta que el malware queda completamente activo en la computadora de la víctima.
Además, se identificó varios dominios que suplantan a DocuSign, como docusign.sa[.]com, que implementan una táctica extra para ganar la confianza del usuario: un CAPTCHA tipo "Click to Verify". Este paso se presenta como una simple verificación de seguridad, pero en realidad sirve para inducir a las personas a ejecutar el script malicioso pensando que es parte del proceso normal.
Esta técnica es similar a otras campañas recientes que han distribuido malware como EDDIESTEALER, donde también se utilizan verificaciones falsas para que el usuario baje la guardia y complete acciones que comprometen su seguridad.
Conoce más sobre: Malware Crocodrilus Crea Contactos Falsos para Engañar por Teléfono
¿Cómo funciona el ataque y por qué es tan peligroso?
Cuando el usuario completa el CAPTCHA, lo que en realidad está pasando detrás de escena es bastante turbio. Sin que se dé cuenta, el sitio copia automáticamente un comando oculto de PowerShell en su portapapeles (esto se conoce como envenenamiento del portapapeles). Luego, le indican que abra el cuadro "Ejecutar" de Windows (presionando Win + R), pegue el contenido (con Ctrl + V) y presione Enter. Y justo ahí es cuando todo comienza: se ejecuta el script malicioso en su computadora.
Ese primer script de PowerShell se encarga de descargar otro archivo, llamado wbdims.exe, alojado en GitHub. Este archivo sirve como un mecanismo de persistencia, lo que significa que asegura que el malware se inicie automáticamente cada vez que el usuario encienda o reinicie su equipo.
Aunque durante la investigación ese archivo ya no estaba disponible, se detectó que, en su momento, era entregado a través del dominio docusign.sa[.]com/verification/c.php. Una vez ejecutado, el navegador del usuario se actualiza automáticamente para mostrar otra página, esta vez en docusign.sa[.]com/verification/s.php?an=1, que lanza la siguiente fase del ataque.
Esta segunda etapa consiste en otro script de PowerShell que baja un archivo ZIP desde el mismo servidor, con el parámetro an ajustado a "2". Este ZIP contiene un ejecutable llamado jp2launcher.exe, que se ejecuta inmediatamente. Al hacerlo, se completa la instalación del NetSupport RAT, un software que le da al atacante el control remoto de la computadora afectada.
Todo este proceso pasa por varias etapas: descarga un script, que descarga otro script, que ejecuta otro... y así sigue. ¿Por qué tanto enredo? Bueno, probablemente para que sea más difícil de detectar por los antivirus y para que los investigadores de seguridad no puedan desmantelar el ataque fácilmente.
Por ahora, no se sabe con certeza quién está detrás de esta campaña. Sin embargo, DomainTools encontró pistas que la relacionan con una operación previa conocida como SocGholish (también llamada FakeUpdates), que ya había sido detectada en octubre de 2024. Usaban tácticas muy parecidas: dominios falsos, scripts ofuscados y muchos trucos para ocultar su rastro.
Es importante destacar que NetSupport Manager, el software que se está usando como RAT (herramienta de acceso remoto), no es malware en sí. De hecho, es una herramienta legítima de administración remota. Pero varios grupos de amenazas, como FIN7, Scarlet Goldfinch y Storm-0408, han encontrado formas de usarla con fines maliciosos.
