DocuSign/Gitcode の偽サイト:多段階の PowerShell 攻撃で NetSupport RAT を展開している

Fake DocuSign, Gitcode Sites Spread NetSupport RAT via Multi-Stage PowerShell Attack

2025/06/03 TheHackerNews — Gitcode や DocuSign の偽サイトを利用して無防備なユーザーを騙し、悪意の PowerShell スクリプトを実行させ、NetSupport RAT マルウェアに感染させるという、新たなキャンペーンについて脅威ハンターたちが警告を発している。DomainTools Investigations (DTI) チームは、Gitcode や DocuSign を装いながらルアーをホストし、悪意の多段階ダウンローダー PowerShell スクリプトを展開するキャンペーンを特定した。

同社は、「これらのユーザーを欺くサイトは、Windows の Run コマンドを介して、第一弾の PowerShell スクリプトをコピーさせ、実行させようとする。こうして実行された PowerShell スクリプトは、別のダウンローダー・スクリプトをダウンロードしてシステム上で実行する。さらに、追加のペイロードを取得/実行し、最終的には NetSupport RAT を、感染させたマシンにインストールする」と、The Hacker News に共有された技術レポートの中で述べている。

これらの偽サイトが、Mail/SNS を介したソーシャル・エンジニアリングにより、拡散される可能性があると予測されている。

偽の Gitcode サイトにホストされている PowerShell スクリプトは、外部サーバ “tradingviewtool[.]com” 一連の PowerShell スクリプトをダウンロードし、それらを連続して使用することで、被害者のマシンで NetSupport RAT を起動するよう意図されている。

DomainTools が特定したものには、Docusign を偽装して同じ RAT 配信している、複数の Web サイト (例:docusign.sa[.]com) があるという。そこでは、ClickFix スタイルの悪意の CAPTCHA 認証で被害者を欺き、悪意の PowerShell スクリプトを実行させるという工夫が凝らされているという。

EDDIESTEALERインフォスティーラーを配信するとして、先日に報告された攻撃チェーンと同様に、これらのページにアクセスしたユーザーは、CAPTCHA チェックを完了して人間であることを証明するよう求められる。

Multi-Stage PowerShell Attack

この CAPTCHA 認証をトリガーすると、難読化された PowerShell コマンドがユーザーのクリップボードにコピーされる (クリップボード・ポイズニングと呼ばれる手法) 。その後にユーザーは、Windows Run ダイアログ (Win + R) を起動し、貼り付け (Ctrl + V) と Enter キーの押下を指示される。つまり、このプロセスの中で悪意のスクリプトが実行される。

この PowerShell スクリプトは、GitHub から永続化スクリプト “wbdims.exe” をダウンロードすることで動作し、ユーザーがシステムにログインすると、ペイロードが自動的に起動されるようになる。

DomainTools は、「調査を実施した時点では、このペイロードを入手できなかったが、”docusign.sa[.]com/verification/c.php” 経由で、配信サイトへとチェックインするものだと考えられる。 それにより、ブラウザのページが更新され、”docusign.sa[.]com/verification/s.php?an=1″というコンテンツが表示される」と述べている。

この時点で、第2段階の PowerShell スクリプトが配信され、URL パラメータ “an=2” に設定した後に、同じサーバから第3段階の ZIP ペイロードをダウンロード/実行する。スクリプトはアーカイブを解凍し、その中に含まれる “jp2launcher.exe” というファイルを実行し、最終的に NetSupport RAT の展開へといたる。

DomainTools は、「複数の段階において、それぞれのスクリプトのダウンロードと実行を繰り返され、そのスクリプトが次のダウンロードと実行を繰り返している。その目的は検出の回避にあり、セキュリティ調査への耐性を高めるための試みだと思われる」と述べている。

現時点で、このキャンペーンを背後で操る人物は不明だが、DomainTools が指摘するのは、2024年10月に検出された SocGholish (別名 FakeUpdates) キャンペーンと類似点であり、関連する配信 URL/ドメイン名/登録パターンが特定されたことだ。

同社は、「注目すべきは、使用される手法が一般的なものであり、FIN7/Scarlet Goldfinch/Storm-0408 などの複数の脅威グループにより、RAT として悪用されることが知られている、正規の管理ツール NetSupport Manager が関連している点だ」と述べている。

CAPTCHA でユーザーの信頼を得てから、マルウェアに感染させる手口は非常に巧妙であり、多くの人々が引っかりそうすね。プログラムやスクリプトを起動/実行する、汎用的な Run コマンドの取り扱いには、十分な注意が必要ですね。よろしければ、以下の関連記事も、DocuSign で検索と併せて、ご参照下さい。

2025/05/28:Docusign 偽装のフィッシングが急増中
2025/03/16:Adobe/DocuSign の OAuth に要注意
2024/11/04:DocuSign の Envelopes API を悪用