كشف باحثون أمنيون عن حملة جديدة تستخدم مواقع إلكترونية مزيفة لخداع المستخدمين وتنفيذ سكربتات PowerShell ضارة على أجهزتهم، مما يؤدي إلى إصابتها ببرمجية NetSupport RAT الخبيثة.
ووفقًا لفريق DomainTools Investigations (DTI)، تستخدم هذه الحملة:
-
مواقع خادعة تشبه مواقع Gitcode وDocuSign الحقيقية
-
سكربتات PowerShell ضارة متعددة المراحل
-
تكتيكات هندسة اجتماعية لنشر الروابط الخبيثة
كيف يعمل الهجوم؟
-
يوجه الضحايا إلى نسخ وتشغيل سكربت PowerShell أولي عبر أمر “Run” في ويندوز
-
يقوم السكربت الأولي بتنزيل وتنفيذ سكربتات ثانوية
-
في النهاية يتم تثبيت برمجية NetSupport RAT على الأجهزة المصابة
تكتيكات متطورة لخداع الضحايا
مواقع Gitcode المزيفة:
-
تستضيف سكربتات PowerShell الخبيثة
-
تقوم بتنزيل سكربتات وسيطة من خادم خارجي (tradingviewtool[.]com)
مواقع DocuSign المزيفة (مثل docusign.sa[.]com):
-
تستخدم تحقق CAPTCHA على نمط ClickFix لخداع الضحايا
-
تقوم بنسخ أمر PowerShell مشفر إلى الحافظة تلقائيًا (تلويث الحافظة)
-
توجيه المستخدمين لتنفيذ الأمر عبر “Win + R” ثم لصقه
تفاصيل تقنية
-
المرحلة الأولى: تنزيل سكربت الثبات (wbdims.exe) من GitHub
-
المرحلة الثانية: تنزيل وتنفيذ سكربت PowerShell ثانوي
-
المرحلة الثالثة: تنزيل وتشغيل حمولة ZIP تحتوي على “jp2launcher.exe”
-
النتيجة النهائية: تثبيت وتنفيذ NetSupport RAT
لماذا هذه الطريقة خطيرة؟
-
تعدد المراحل يجعل الاكتشاف أكثر صعوبة
-
استخدام أدوات شرعية (مثل NetSupport Manager) يزيد من التمويه
-
تقنيات الهندسة الاجتماعية فعالة في خداع المستخدمين
