Cibercriminales Distribuyen NetSupport RAT con Webs Falsas de Gitcode y DocuSign

Introducción

En las últimas semanas, los equipos de threat hunting han detectado una sofisticada campaña de distribución de malware dirigida a usuarios corporativos y particulares mediante el uso de sitios web fraudulentos que simulan servicios populares como Gitcode y DocuSign. Estos portales falsificados están diseñados para engañar a las víctimas y lograr que ejecuten scripts maliciosos de PowerShell, cuyo objetivo final es la instalación del conocido troyano de acceso remoto NetSupport RAT en los sistemas comprometidos. La investigación ha sido liderada por el equipo de DomainTools Investigations (DTI), quien ha publicado un exhaustivo análisis sobre la amenaza y sus implicaciones.

Contexto del Incidente

El uso de herramientas legítimas como NetSupport Manager, convertidas en troyanos de acceso remoto (RAT), se ha consolidado como una táctica recurrente entre actores de amenazas. En esta campaña concreta, los atacantes han creado clonos de portales corporativos ampliamente utilizados, como Gitcode y DocuSign, para aumentar la tasa de éxito de sus engaños (phishing). Al acceder a estos sitios fraudulentos, el usuario es incitado a descargar y ejecutar scripts que, aparentemente, ofrecen funcionalidades legítimas o acceso a documentos, pero que en realidad inician la cadena de infección.

Detalles Técnicos

La investigación de DTI ha identificado scripts de PowerShell multi-etapa alojados en estos dominios falsos. Estos scripts actúan como downloaders, realizando múltiples comprobaciones para evadir sistemas de detección y, posteriormente, descargar y ejecutar el payload de NetSupport RAT.

– **Vectores de ataque:** El punto de entrada es el phishing mediante dominios typosquatted o con nombres similares a los originales (por ejemplo, gitcode-secure[.]com o docusign-auth[.]org).
– **Cadena de infección:** El usuario, tras ser redirigido, descarga un archivo que ejecuta un script de PowerShell. El script suele estar ofuscado y utiliza técnicas como el living-off-the-land (LotL) para descargar payloads adicionales.
– **Herramientas y frameworks:** No se han detectado exploits zero-day; el ataque se basa en ingeniería social y abuso de PowerShell (sin requerir elevación de privilegios). En fases posteriores, NetSupport RAT emplea mecanismos integrados para el control remoto, movimiento lateral y exfiltración de información.
– **TTPs MITRE ATT&CK relevantes:** T1566 (Phishing), T1059.001 (PowerShell), T1105 (Remote File Copy), T1219 (Remote Access Software).
– **Indicadores de Compromiso (IoC):** Dominios maliciosos, hashes de scripts y artefactos de NetSupport RAT (configuración, persistencia en HKCUSoftwareMicrosoftWindowsCurrentVersionRun).
– **Versiones afectadas:** Cualquier sistema Windows con PowerShell habilitado es potencialmente vulnerable, especialmente donde no se han aplicado políticas restrictivas para la ejecución de scripts.

Impacto y Riesgos

NetSupport RAT, originalmente una herramienta legítima de administración remota, es conocido por su versatilidad en manos de actores maliciosos. Permite control total del endpoint, registro de pulsaciones, captura de pantalla, exfiltración de datos y despliegue de payloads adicionales. Según estimaciones de DTI, se han identificado decenas de dominios activos y se calcula que al menos un 3% de las organizaciones expuestas han llegado a ejecutar el script inicial. El impacto potencial incluye robo de credenciales, movimientos laterales y escalada de privilegios, además de posibles incidentes de ransomware en fases avanzadas.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo, se recomienda:

– **Filtrado DNS y bloqueo de dominios maliciosos** identificados en los IoC.
– **Restringir la ejecución de PowerShell** para usuarios no administrativos y monitorizar la actividad de scripts.
– **Desplegar políticas de AppLocker o WDAC** para limitar la ejecución de binarios y scripts no autorizados.
– **Formación continua en phishing** para empleados y alertas sobre campañas activas.
– **Monitorización proactiva** de logs de endpoints y detección de patrones asociados a NetSupport RAT (p.ej., conexiones remotas sospechosas, procesos de PowerShell inusuales).
– **Actualización de soluciones EDR/XDR** con reglas específicas para comportamientos LotL y RATs.

Opinión de Expertos

Expertos en ciberseguridad subrayan que la explotación de herramientas legítimas como NetSupport RAT complica la detección y respuesta, pues muchos controles tradicionales no distinguen entre uso legítimo y malicioso. Además, la ingeniería social sigue siendo una de las técnicas más efectivas para eludir controles tecnológicos. “El abuso de PowerShell y la rápida proliferación de dominios clónicos requieren una aproximación de defensa en profundidad y una vigilancia constante”, señala un analista de un SOC europeo.

Implicaciones para Empresas y Usuarios

El uso de identidades visuales de marcas reconocidas incrementa el riesgo de compromiso incluso en entornos con cierta madurez en ciberseguridad. Las empresas sujetas a normativas como GDPR y NIS2 podrían enfrentarse a sanciones importantes en caso de fuga de datos, además de daños reputacionales y costes de recuperación. La campaña evidencia la importancia de la visibilidad y el control en la capa de usuario y la necesidad de combinar tecnología, procesos y concienciación.

Conclusiones

Esta campaña demuestra la profesionalización de los atacantes y la eficacia de los ataques basados en ingeniería social y herramientas legítimas. La detección proactiva, el despliegue de controles técnicos avanzados y la concienciación continua son clave para contener la amenaza. Los equipos de seguridad deben revisar sus controles sobre PowerShell, reforzar la monitorización y actualizar sus estrategias de defensa frente a RATs y ataques multietapa.

(Fuente: feeds.feedburner.com)