Pesquisadores de segurança cibernética recentemente descobriram uma nova ameaça digital que está afetando usuários ao redor do mundo. Sites falsificados de DocuSign e Gitcode estão sendo usados para distribuir malware, incluindo o perigoso NetSupport RAT (Remote Access Trojan). Essa ameaça, que explora as falhas da segurança online, tem causado grande preocupação entre especialistas da área, que alertam sobre os riscos crescentes de ataques via engenharia social e técnicas de phishing.
Esses sites maliciosos utilizam estratégias sofisticadas para enganar vítimas e instalar trojans de acesso remoto nos sistemas afetados. A campanha foi observada pela DomainTools Investigations (DTI), que identificou o uso do método ClickFix e outras táticas engenhosas, tornando a disseminação do malware mais difícil de ser detectada e removida.
Como os Sites Falsificados Distribuem Malware?
O funcionamento dos sites falsos de DocuSign e Gitcode é relativamente simples, mas extremamente eficaz. Quando o usuário acessa uma página falsa que se disfarça como um site legítimo, ele é instruído a executar um comando no terminal do Windows Run, utilizando um script PowerShell. Esse comando é copiado automaticamente para a área de transferência da vítima.
Ao executar o script, um segundo script malicioso é baixado e executado, resultando na instalação do NetSupport RAT, um malware perigoso que dá aos atacantes controle total sobre o sistema da vítima. Esse trojan de acesso remoto é utilizado por cibercriminosos para roubo de informações sensíveis, monitoramento remoto e até controle completo dos dispositivos infectados.
A complexidade do ataque é notável, pois ele ocorre em várias etapas, dificultando a detecção por ferramentas de segurança tradicionais. O processo de múltiplos estágios e downloads sequenciais é projetado para evitar a identificação por antivírus, tornando a campanha mais resiliente a investigações de segurança.
Engenharia Social e Phishing: Como as Vítimas São Enganadas?
Embora os pesquisadores não saibam exatamente como as vítimas são direcionadas a esses sites maliciosos, é possível especular que o ataque utilize técnicas de engenharia social, spam por e-mail e malvertising (publicidade maliciosa). Essas técnicas são eficazes porque exploram a confiança dos usuários em sites legítimos, como DocuSign e Gitcode, para induzi-los a executar comandos que resultam na instalação do malware.
Em alguns casos, os sites falsificados até incluem um mecanismo de verificação CAPTCHA falso, pedindo que a vítima copie e cole um código no Windows Run. Essa ação aparentemente inocente, na verdade, faz o download do malware no sistema da vítima, comprometendo completamente o dispositivo.
Além disso, as páginas de phishing frequentemente utilizam pop-ups que alertam o usuário sobre um erro ou necessidade de atualização de software, uma tática comum no SocGholish (ou FakeUpdates). Esses alertas são projetados para manipular o comportamento dos usuários e forçá-los a baixar o malware sem suspeitar de nada.
O Uso do NetSupport RAT e a Conexão com Grupos de Ameaças Conhecidos
O NetSupport RAT é uma ferramenta legítima de administração remota, mas, quando usada por cibercriminosos, ela se torna um trojan de acesso remoto extremamente perigoso. A ferramenta oferece aos atacantes a capacidade de monitorar, controlar e roubar dados dos dispositivos infectados.
O uso do NetSupport RAT em campanhas de malware tem sido associado a grupos de ameaças como FIN7, Scarlet Goldfinch e Storm-0408, que são conhecidos por utilizar esse malware em ataques direcionados a empresas e indivíduos.
No caso da campanha observada pela DTI, as técnicas de phishing e engenharia social usadas para espalhar o malware lembram as abordagens empregadas pelo SocGholish, um grupo criminoso também conhecido por suas campanhas de alertas falsos de atualização e engenharia social.
Como se Proteger de Malware e Phishing
Dada a crescente ameaça de malware distribuído por sites falsos e campanhas de phishing, é essencial que os usuários adotem boas práticas de segurança para se protegerem contra ataques cibernéticos. A seguir, apresentamos algumas medidas importantes para minimizar o risco de infecção por malware:
- Verifique sempre a URL do site: Antes de executar qualquer ação ou inserir informações confidenciais, certifique-se de que a URL do site é legítima. Procure pelo prefixo “https://” e verifique se o domínio corresponde ao site oficial.
- Desconfie de e-mails ou links suspeitos: Se receber um e-mail com um link suspeito ou um arquivo anexado, evite clicar. Phishing frequentemente começa com um e-mail malicioso.
- Evite executar comandos no Windows Run: Nunca execute comandos que venham de fontes desconhecidas. Isso pode comprometer a segurança do seu sistema e abrir portas para malware.
- Mantenha seu software antivírus atualizado: A atualização regular do seu antivírus pode ajudar a identificar malware antes que ele se instale no seu sistema.
- Habilite autenticação de dois fatores (2FA): Quando disponível, ative a autenticação de dois fatores para adicionar uma camada extra de segurança às suas contas online.
- Não caia em alertas falsos de atualização: Evite clicar em pop-ups ou mensagens que afirmam que seu sistema precisa de uma atualização urgente, especialmente se elas surgirem em sites que você não conhece.
Os sites falsificados do DocuSign e Gitcode estão sendo utilizados para distribuir malware perigoso e colocar em risco a segurança de usuários desavisados. Com o uso de engenharia social, phishing e o método ClickFix, os atacantes conseguem enganar as vítimas e instalar trojans de acesso remoto que oferecem controle total sobre os dispositivos comprometidos. Para se proteger, os usuários devem adotar práticas de segurança cibernética rigorosas e estar atentos a sinais de ataques de malware. A conscientização digital é a chave para evitar a propagação dessas ameaças.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
