Ψεύτικες σελίδες DocuSign διανέμουν το NetSupport RAT malware
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Ψεύτικες σελίδες DocuSign διανέμουν το NetSupport RAT malware
https://www.secnews.gr/650058/pseutikes-selides-docusign-dianemoun-netsupport-rat-malware/
Jun 3rd 2025, 18:00
by Digital Fortress
Μια νέα καμπάνια κακόβουλου λογισμικού, που καταχράται το DocuSign, διανέμει το NetSupport RAT, ένα εργαλείο απομακρυσμένης πρόσβασης.
Σύμφωνα με αναφορά της DomainTools, οι επιτιθέμενοι έχουν δημιουργήσει έναν ψεύτικο ιστότοπο DocuSign που μιμείται τη γνωστή διαδικασία CAPTCHA. Όταν ο χρήστης επιλέξει το πλαίσιο επαλήθευσης, ξεκινά μια διαδικασία που είναι γνωστή ως clipboard poisoning. Ένα κακόβουλο PowerShell script αντιγράφεται αυτόματα στο πρόχειρο του συστήματος, καλώντας τον χρήστη να το επικολλήσει και να το εκτελέσει χειροκίνητα μέσω της εντολής "Windows Run".
Το εκτελούμενο script κατεβάζει ένα δεύτερο κακόβουλο payload, το οποίο εξασφαλίζει μόνιμη παρουσία στο σύστημα. Αυτό περιλαμβάνει τη λήψη ενός εκτελέσιμου αρχείου από το GitHub και την τοποθέτηση μιας συντόμευσης στον φάκελο Startup. Το τελικό στάδιο της επίθεσης εγκαθιστά το NetSupport RAT, δίνοντας στον εισβολέα πλήρη απομακρυσμένη πρόσβαση στον υπολογιστή-στόχο.
Δείτε επίσης: Η ανάλυση malware αποκαλύπτει εξελιγμένο RAT
Για να αυξήσουν τη δυσκολία ανίχνευσης, οι δράστες χρησιμοποιούν τεχνικές απόκρυψης κώδικα όπως το ROT13 encoding, ενώ αξιοποιούν τις εμπορικές επωνυμίες DocuSign και Cloudflare για να προσδώσουν νομιμότητα στις σελίδες phishing.
Η επίθεση βασίζεται σε πολλαπλά στάδια και «αλυσίδα» scripts, όπου κάθε βήμα λειτουργεί ως downloader του επόμενου, με στόχο την παράκαμψη παραδοσιακών λύσεων ασφαλείας.
Οι ερευνητές προειδοποιούν ότι η καμπάνια πιθανώς θα επεκταθεί και σε άλλες πλατφόρμες, χρησιμοποιώντας την ίδια τεχνική παραπλάνησης.
Η έρευνα της DomainTools αποκαλύπτει μια ευρύτερη, εξελιγμένη υποδομή πίσω από την πρόσφατη καμπάνια κακόβουλου λογισμικού που αξιοποιεί πλαστές σελίδες DocuSign. Η κακόβουλη δραστηριότητα φαίνεται να επεκτείνεται και σε άλλους γνωστούς στόχους, με ψεύτικα domains που μιμούνται υπηρεσίες όπως το Gitcodes, την Okta και δημοφιλείς πλατφόρμες πολυμέσων όπως το Netflix και το Spotify.
Δείτε επίσης: APT41 – ToughProgress malware: Κατάχρηση Google Calendar για C2 σκοπούς
Η μεθοδολογία της επίθεσης παραμένει σταθερή: πλαστογράφηση CAPTCHA, αλυσιδωτά κακόβουλα scripts και επιθέσεις που βασίζονται στη χειραγώγηση του πρόχειρου (clipboard). Πολλά από τα κακόβουλα domains μοιράζονται κοινά τεχνικά χαρακτηριστικά, μεταξύ των οποίων:
• Εγγραφή μέσω Cloudflare, NameCheap και NameSilo
• Name servers που σχετίζονται με τα cloudflare[.]com και luxhost[.]org
• SSL πιστοποιητικά που εκδίδονται από την WE1
• Φιλοξενία κακόβουλου λογισμικού σε CDN πλατφόρμες όπως το GitHub και το Discord
Παρά την πολυπλοκότητα της καμπάνιας, τα εργαλεία που χρησιμοποιούνται είναι γνωστά στην κοινότητα της κυβερνοασφάλειας. Στην καρδιά της επίθεσης βρίσκεται το NetSupport Manager, ένα νόμιμο εργαλείο απομακρυσμένης διαχείρισης, που έχει επανειλημμένα αξιοποιηθεί από απειλητικούς φορείς στο παρελθόν.
Παρόμοιες τεχνικές έχουν συσχετιστεί με γνωστά κυβερνοεγκληματικά δίκτυα, όπως η FIN7 και η STORM-0408, αν και, προς το παρόν, δεν υπάρχουν αποδείξεις που να συνδέουν απευθείας τη συγκεκριμένη καμπάνια με κάποια από αυτές τις ομάδες.
Οι Συστάσεις Ασφαλείας από τη DomainTools
Στο πλαίσιο της έρευνάς της για τις επιθέσεις με το κακόβουλο λογισμικό NetSupport RAT, η DomainTools τονίζει την ανάγκη για αυξημένη επαγρύπνηση απέναντι σε ύποπτες διαδικτυακές οδηγίες. Η εταιρεία τονίζει ότι κανένας αξιόπιστος ιστότοπος δεν ζητά από χρήστες να επικολλήσουν εντολές PowerShell στην εντολή "Run" των Windows. Επίσης, σελίδες που παριστάνουν επαληθεύσεις CAPTCHA και ταυτόχρονα ενεργοποιούν εκτέλεση scripts αποτελούν σαφή ένδειξη κακόβουλης δραστηριότητας.
Η εταιρεία τόνισε και την προσεκτική επιθεώρηση URL και SSL πιστοποιητικών. Μικρές παραλλαγές σε ονόματα domains, ασυνήθιστες καταλήξεις (.top, .xyz κ.λπ.) ή άγνωστοι εκδότες πιστοποιητικών μπορούν να αποτελούν ενδείξεις ότι ο ιστότοπος είναι πλαστός.
Δείτε επίσης: Νέο αυτοδιαδιδόμενο malware μολύνει τα Docker Containers
Σύμφωνα με τη DomainTools, η επιτυχία αυτών των επιθέσεων εξαρτάται λιγότερο από τεχνικά τρωτά σημεία και περισσότερο από την κοινωνική μηχανική. Η καλύτερη άμυνα παραμένει η κριτική σκέψη: οι χρήστες καλούνται να αμφισβητούν κάθε ύποπτη ενέργεια και να διασταυρώνουν πάντα τη γνησιότητα των πηγών πριν προβούν σε οποιαδήποτε ενέργεια.
Γενικά Tips Προστασίας από RAT malware
Ο πρώτος και πιο σημαντικός τρόπος προστασίας από τα RAT malware είναι η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας. Το λογισμικό αυτό θα πρέπει να περιλαμβάνει προστασία από ιούς, spyware, malware και άλλες επιθέσεις, καθώς και τη δυνατότητα ανίχνευσης και απομάκρυνσης RAT.
Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τα τελευταία γνωστά trojan (π.χ. NetSupport RAT).
Επίσης, πρέπει να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Πολλά RAT malware διαδίδονται μέσω επιθέσεων phishing, οπότε αποφεύγετε να ανοίγετε συνημμένα ή να κάνετε κλικ σε συνδέσμους από άγνωστες πηγές.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί, επίσης, να βοηθήσει στην προστασία από τις επιθέσεις RAT (π.χ. NetSupport RAT). Επίσης, η χρήση διπλής επαλήθευσης μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφαλείας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους τα RAT malware εισβάλλουν στο σύστημά σας και των τρόπων προστασίας από αυτά, μπορεί να σας βοηθήσει να παραμείνετε ασφαλείς.
Πηγή: www.infosecurity-magazine.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Ψεύτικες σελίδες DocuSign διανέμουν το NetSupport RAT malware
https://www.secnews.gr/650058/pseutikes-selides-docusign-dianemoun-netsupport-rat-malware/
Jun 3rd 2025, 18:00
by Digital Fortress
Μια νέα καμπάνια κακόβουλου λογισμικού, που καταχράται το DocuSign, διανέμει το NetSupport RAT, ένα εργαλείο απομακρυσμένης πρόσβασης.
Σύμφωνα με αναφορά της DomainTools, οι επιτιθέμενοι έχουν δημιουργήσει έναν ψεύτικο ιστότοπο DocuSign που μιμείται τη γνωστή διαδικασία CAPTCHA. Όταν ο χρήστης επιλέξει το πλαίσιο επαλήθευσης, ξεκινά μια διαδικασία που είναι γνωστή ως clipboard poisoning. Ένα κακόβουλο PowerShell script αντιγράφεται αυτόματα στο πρόχειρο του συστήματος, καλώντας τον χρήστη να το επικολλήσει και να το εκτελέσει χειροκίνητα μέσω της εντολής "Windows Run".
Το εκτελούμενο script κατεβάζει ένα δεύτερο κακόβουλο payload, το οποίο εξασφαλίζει μόνιμη παρουσία στο σύστημα. Αυτό περιλαμβάνει τη λήψη ενός εκτελέσιμου αρχείου από το GitHub και την τοποθέτηση μιας συντόμευσης στον φάκελο Startup. Το τελικό στάδιο της επίθεσης εγκαθιστά το NetSupport RAT, δίνοντας στον εισβολέα πλήρη απομακρυσμένη πρόσβαση στον υπολογιστή-στόχο.
Δείτε επίσης: Η ανάλυση malware αποκαλύπτει εξελιγμένο RAT
Για να αυξήσουν τη δυσκολία ανίχνευσης, οι δράστες χρησιμοποιούν τεχνικές απόκρυψης κώδικα όπως το ROT13 encoding, ενώ αξιοποιούν τις εμπορικές επωνυμίες DocuSign και Cloudflare για να προσδώσουν νομιμότητα στις σελίδες phishing.
Η επίθεση βασίζεται σε πολλαπλά στάδια και «αλυσίδα» scripts, όπου κάθε βήμα λειτουργεί ως downloader του επόμενου, με στόχο την παράκαμψη παραδοσιακών λύσεων ασφαλείας.
Οι ερευνητές προειδοποιούν ότι η καμπάνια πιθανώς θα επεκταθεί και σε άλλες πλατφόρμες, χρησιμοποιώντας την ίδια τεχνική παραπλάνησης.
Η έρευνα της DomainTools αποκαλύπτει μια ευρύτερη, εξελιγμένη υποδομή πίσω από την πρόσφατη καμπάνια κακόβουλου λογισμικού που αξιοποιεί πλαστές σελίδες DocuSign. Η κακόβουλη δραστηριότητα φαίνεται να επεκτείνεται και σε άλλους γνωστούς στόχους, με ψεύτικα domains που μιμούνται υπηρεσίες όπως το Gitcodes, την Okta και δημοφιλείς πλατφόρμες πολυμέσων όπως το Netflix και το Spotify.
Δείτε επίσης: APT41 – ToughProgress malware: Κατάχρηση Google Calendar για C2 σκοπούς
Η μεθοδολογία της επίθεσης παραμένει σταθερή: πλαστογράφηση CAPTCHA, αλυσιδωτά κακόβουλα scripts και επιθέσεις που βασίζονται στη χειραγώγηση του πρόχειρου (clipboard). Πολλά από τα κακόβουλα domains μοιράζονται κοινά τεχνικά χαρακτηριστικά, μεταξύ των οποίων:
• Εγγραφή μέσω Cloudflare, NameCheap και NameSilo
• Name servers που σχετίζονται με τα cloudflare[.]com και luxhost[.]org
• SSL πιστοποιητικά που εκδίδονται από την WE1
• Φιλοξενία κακόβουλου λογισμικού σε CDN πλατφόρμες όπως το GitHub και το Discord
Παρά την πολυπλοκότητα της καμπάνιας, τα εργαλεία που χρησιμοποιούνται είναι γνωστά στην κοινότητα της κυβερνοασφάλειας. Στην καρδιά της επίθεσης βρίσκεται το NetSupport Manager, ένα νόμιμο εργαλείο απομακρυσμένης διαχείρισης, που έχει επανειλημμένα αξιοποιηθεί από απειλητικούς φορείς στο παρελθόν.
Παρόμοιες τεχνικές έχουν συσχετιστεί με γνωστά κυβερνοεγκληματικά δίκτυα, όπως η FIN7 και η STORM-0408, αν και, προς το παρόν, δεν υπάρχουν αποδείξεις που να συνδέουν απευθείας τη συγκεκριμένη καμπάνια με κάποια από αυτές τις ομάδες.
Οι Συστάσεις Ασφαλείας από τη DomainTools
Στο πλαίσιο της έρευνάς της για τις επιθέσεις με το κακόβουλο λογισμικό NetSupport RAT, η DomainTools τονίζει την ανάγκη για αυξημένη επαγρύπνηση απέναντι σε ύποπτες διαδικτυακές οδηγίες. Η εταιρεία τονίζει ότι κανένας αξιόπιστος ιστότοπος δεν ζητά από χρήστες να επικολλήσουν εντολές PowerShell στην εντολή "Run" των Windows. Επίσης, σελίδες που παριστάνουν επαληθεύσεις CAPTCHA και ταυτόχρονα ενεργοποιούν εκτέλεση scripts αποτελούν σαφή ένδειξη κακόβουλης δραστηριότητας.
Η εταιρεία τόνισε και την προσεκτική επιθεώρηση URL και SSL πιστοποιητικών. Μικρές παραλλαγές σε ονόματα domains, ασυνήθιστες καταλήξεις (.top, .xyz κ.λπ.) ή άγνωστοι εκδότες πιστοποιητικών μπορούν να αποτελούν ενδείξεις ότι ο ιστότοπος είναι πλαστός.
Δείτε επίσης: Νέο αυτοδιαδιδόμενο malware μολύνει τα Docker Containers
Σύμφωνα με τη DomainTools, η επιτυχία αυτών των επιθέσεων εξαρτάται λιγότερο από τεχνικά τρωτά σημεία και περισσότερο από την κοινωνική μηχανική. Η καλύτερη άμυνα παραμένει η κριτική σκέψη: οι χρήστες καλούνται να αμφισβητούν κάθε ύποπτη ενέργεια και να διασταυρώνουν πάντα τη γνησιότητα των πηγών πριν προβούν σε οποιαδήποτε ενέργεια.
Γενικά Tips Προστασίας από RAT malware
Ο πρώτος και πιο σημαντικός τρόπος προστασίας από τα RAT malware είναι η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας. Το λογισμικό αυτό θα πρέπει να περιλαμβάνει προστασία από ιούς, spyware, malware και άλλες επιθέσεις, καθώς και τη δυνατότητα ανίχνευσης και απομάκρυνσης RAT.
Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τα τελευταία γνωστά trojan (π.χ. NetSupport RAT).
Επίσης, πρέπει να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Πολλά RAT malware διαδίδονται μέσω επιθέσεων phishing, οπότε αποφεύγετε να ανοίγετε συνημμένα ή να κάνετε κλικ σε συνδέσμους από άγνωστες πηγές.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί, επίσης, να βοηθήσει στην προστασία από τις επιθέσεις RAT (π.χ. NetSupport RAT). Επίσης, η χρήση διπλής επαλήθευσης μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφαλείας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους τα RAT malware εισβάλλουν στο σύστημά σας και των τρόπων προστασίας από αυτά, μπορεί να σας βοηθήσει να παραμείνετε ασφαλείς.
Πηγή: www.infosecurity-magazine.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz