Pesquisadores da DomainTools identificaram uma nova campanha maliciosa que utiliza sites falsos do Gitcode e DocuSign para induzir usuários a executarem scripts PowerShell, culminando na instalação do NetSupport RAT, um trojan de acesso remoto. Os cibercriminosos criam páginas enganosas que simulam serviços legítimos e orientam as vítimas a copiar e colar comandos PowerShell no atalho “Executar” do Windows. Esse script inicial aciona uma cadeia de downloads em múltiplas etapas, cada uma responsável por buscar novos scripts e arquivos, até que o malware final seja instalado.

No caso dos sites falsos do Gitcode, os scripts recuperam cargas do domínio “tradingviewtool[.]com”, enquanto as páginas que imitam o DocuSign utilizam uma tática adicional: uma falsa verificação CAPTCHA. Ao interagir com ela, o comando malicioso é furtivamente copiado para a área de transferência da vítima. Quando colado e executado, ele inicia o processo de infecção.

Parte da carga inclui um executável hospedado no GitHub que garante persistência no sistema, sendo ativado a cada novo login do usuário. Embora um dos arquivos (“wbdims.exe”) estivesse fora do ar durante a investigação, o comportamento observado sugere que ele inicia uma sequência de requisições ao servidor que culmina no download de um arquivo ZIP com o malware final, executado por meio de “jp2launcher.exe”.

Essa técnica fragmentada visa dificultar a detecção e análise por soluções de segurança. A origem da campanha ainda é incerta, mas compartilha características com ataques anteriores do tipo SocGholish. O NetSupport, embora legítimo, tem sido amplamente usado por grupos como FIN7 e Storm-0408 para fins maliciosos.