Menu Mobile
Voltar ao inĂ­cio do blog

Falsos sites do DocuSign e Gitcode espalham NetSupport RAT via PowerShell

Uma nova campanha de ciberataques está utilizando sites falsos que imitam plataformas conhecidas como DocuSign e Gitcode para disseminar o malware NetSupport RAT. A tática envolve scripts maliciosos em PowerShell que, quando executados pelas vítimas, iniciam uma cadeia de downloads culminando na instalação do trojan de acesso remoto.

Os cibercriminosos criam páginas enganosas que simulam serviços legítimos e orientam os usuários a copiar e colar comandos PowerShell no atalho “Executar” do Windows. Esse script inicial aciona uma sequência de downloads em múltiplas etapas, cada uma responsável por buscar novos scripts e arquivos, até que o malware final seja instalado.

No caso dos sites falsos do Gitcode, os scripts recuperam cargas do domínio “tradingviewtool[.]com”. Já as páginas que imitam o DocuSign utilizam uma tática adicional: uma falsa verificação CAPTCHA. Ao interagir com ela, o comando malicioso é furtivamente copiado para a área de transferência da vítima. Quando colado e executado, ele inicia o processo de infecção.

Parte da carga inclui um executável hospedado no GitHub que garante persistência no sistema, sendo ativado a cada novo login do usuário. Embora um dos arquivos (“wbdims.exe”) estivesse fora do ar durante a investigação, o comportamento observado sugere que ele inicia uma sequência de requisições ao servidor que culmina no download de um arquivo ZIP com o malware final, executado por meio de “jp2launcher.exe”.

Essa técnica fragmentada visa dificultar a detecção e análise por soluções de segurança. A origem da campanha ainda é incerta, mas compartilha características com ataques anteriores do tipo SocGholish. O NetSupport, embora legítimo, tem sido amplamente usado por grupos como FIN7 e Storm-0408 para fins maliciosos.

Dica de prevenção:

Para se proteger contra esse tipo de ameaça:

  • Desconfie de sites que solicitam a execução de comandos no terminal ou “Executar” do Windows

  • Evite copiar e colar comandos de fontes nĂŁo confiáveis

  • Mantenha soluções de segurança atualizadas e ativas

  • Implemente polĂ­ticas de segurança que restrinjam a execução de scripts nĂŁo autorizados

A segurança começa com a conscientização

Na LC SEC, oferecemos soluções especializadas para proteger sua empresa contra ameaças cibernéticas, como o NetSupport RAT. Com serviços de testes de intrusão, desenvolvimento de políticas de segurança e treinamentos de conscientização, ajudamos a fortalecer a defesa digital da sua organização.

Conheça nossos serviços: lcsec.io

Compartilhe nas redes sociais:

Você cuida da sua empresa, a LC Sec cuida da sua cibersegurança

conheça a lc sec

ConteĂşdos relacionados

06 de Junho de 2025

Soberania de dados na saúde: o desafio de proteger informações sensíveis em um mundo conectado
06 de Junho de 2025

Falha no Safari permite rastreamento entre abas e ameaça privacidade dos usuários
29 de Maio de 2025

FBI alerta para nova campanha de extorsĂŁo digital com engenharia social