近年来,随着远程办公需求的激增及网络协作工具的普及,DocuSign和Gitcode等平台因其便捷性和广泛使用而成为众多用户信赖的服务。然而,网络犯罪分子正利用公众对这些平台的熟悉和信任,打造精细的钓鱼网站,通过多阶段PowerShell攻击链来传播NetSupport远程访问工具(RAT),对用户设备安全构成严重威胁。该恶意活动被威胁猎人监测到后,迅速引起了网络安全界的极大关注。NetSupport RAT是一款众所周知的远程访问工具,虽然其初衷是为远程技术支持提供便利,但因其强大的远程控制功能,频繁被黑客团伙滥用。此次攻击通过巧妙伪装的虚假DocuSign和Gitcode网站,诱骗用户手动运行恶意脚本,开启了复杂的感染链条。攻击最初阶段,用户访问伪造网站后,页面会诱导他们通过Windows的“运行”对话框执行一段事先复制至剪切板的PowerShell命令。
此类剪贴板投毒技术极具欺骗性,难以被传统安全工具及时阻断。完成初始脚本执行后,攻击进一步加载多个中间下载器脚本,这些下载器负责接收并执行来自攻击服务器的后续有效载荷,以逐步搭建完整的恶意环境。值得注意的是,攻击团队使用了由“tradingviewtool[.]com”等外部服务器托管的中转下载脚本,从而隐藏了主要恶意代码的真实来源,增强攻击的隐蔽性与持久性。同时,伪造的DocuSign钓鱼网站精心设计了类似ClickFix验证码的测试,迫使受害者“验证”人机身份。当用户完成所谓的“验证码”时,该操作实际上触发了恶意PowerShell脚本通过剪贴板传播的一系列步骤,诱使用户将代码粘贴运行,完成初步攻击部署。中后期,攻击载荷包括一个名为“wbdims.exe”的持久化程序,它通常托管在GitHub等知名平台,使得该恶意文件更难被立即发现和拦截。
该程序被设计为开机自动运行,确保NetSupport RAT能够持续控制被感染的机器。此外,攻击脚本还会进一步发送请求,下载包含“jp2launcher.exe”的压缩包,并执行其中的可执行程序,实现最终的远程访问木马部署。这一多层次、多阶段的脚本下载执行方式,有效逃避了传统杀毒软件与安全检测系统的连续识别。分析显示,类似的攻击链条此前曾在SocGholish(又称FakeUpdates)钓鱼活动中出现,这为此次攻击背后的黑客集团属性提供了线索。调查机构指出,NetSupport管理工具虽为合法软件,但多个知名高级持续威胁组织(如FIN7、Scarlet Goldfinch及Storm-0408)均曾利用其恶意变种实施攻击,令这类事件更具行业警示意义。面对如此复杂隐蔽且具有极强破坏力的攻击,用户及企业应高度警惕各类钓鱼邮件与社交工程手段。
尤其是在接收到来自伪装平台的未知请求时,切勿盲目执行未经验证的脚本指令。技术防护方面,及时更新操作系统与安全软件,部署具备行为分析能力的终端防护解决方案至关重要。同时,强化员工安全意识培训,模拟钓鱼演练,有效防止因人为疏忽造成的安全漏洞。建议企业采用多重身份验证机制,限制运行权限,及时监测异常网络通信,一旦发现疑似远控木马痕迹,迅速隔离相关设备并开展深度溯源调查。总结来看,此次Fake DocuSign与Gitcode伪装网站传播NetSupport RAT的多阶段PowerShell攻击,是当前网络攻击场景中一个典型且非常成功的案例。它融合了社交工程、脚本多层级下载、持久化机制及伪装技术,展示了黑客日益创新的攻击手法。
防范此类威胁,不能依赖单一防御策略,而应构建多层次、综合性的安全保障体系,持续关注最新攻击动态,及时调整安全策略。未来数年内,随着远程办公与云端应用的广泛渗透,钓鱼攻击和恶意工具的威胁仍将维持高位,用户和企业都需不断提升安全警觉,打造坚实防线,保护宝贵的数字资产免受侵害。