### Campaña de distribución de NetSupport RAT mediante scripts PowerShell y webs falsas de Gitcode y DocuSign

#### Introducción

En las últimas semanas, los equipos de threat hunting han detectado una campaña avanzada de distribución de malware que utiliza sitios web fraudulentos para inducir a los usuarios a ejecutar scripts PowerShell maliciosos. El objetivo final es la implantación del conocido troyano de acceso remoto NetSupport RAT. Esta técnica, que aprovecha la ingeniería social y la suplantación de marcas reconocidas como Gitcode y DocuSign, supone una amenaza significativa tanto para empresas como para usuarios individuales, especialmente en entornos corporativos donde estos servicios son de uso habitual.

#### Contexto del Incidente

La investigación ha sido liderada por el equipo de DomainTools Investigations (DTI), que ha identificado múltiples sitios web de phishing cuidadosamente diseñados para imitar plataformas legítimas. Estas páginas actúan como cebo para distribuir scripts PowerShell multi-etapa, que facilitan la descarga y ejecución de NetSupport RAT en los sistemas comprometidos.

NetSupport RAT, aunque originalmente fue concebido como una herramienta legítima de soporte remoto, ha sido ampliamente adoptada por actores maliciosos debido a sus capacidades de control total sobre los equipos infectados y su facilidad de evasión de controles tradicionales.

#### Detalles Técnicos

Los scripts identificados están alojados en sitios que imitan a Gitcode y DocuSign, dos servicios ampliamente utilizados en entornos empresariales. El vector de ataque principal es la ingeniería social: los usuarios son inducidos a descargar y ejecutar archivos bajo el pretexto de recibir documentación o código legítimo.

– **CVE y vulnerabilidades relacionadas:** No se han identificado CVEs específicos explotados en la entrega inicial, ya que la campaña depende principalmente de la interacción del usuario y el abuso de funcionalidades PowerShell preexistentes en Windows.
– **Vectores de ataque:** Descarga directa de scripts desde dominios falsos, ejecución de PowerShell con parámetros obfuscados y carga dinámica de módulos maliciosos.
– **TTP (MITRE ATT&CK):**
– T1566 (Phishing)
– T1059.001 (Command and Scripting Interpreter: PowerShell)
– T1105 (Ingress Tool Transfer)
– T1219 (Remote Access Tools)
– **Indicadores de Compromiso (IoC):** Dominios recientemente registrados que contienen variaciones de “gitcode” y “docusign”, scripts PowerShell con cadenas ofuscadas y conexiones salientes a servidores C2 asociados históricamente a NetSupport RAT.
– **Herramientas y frameworks:** Si bien no se han detectado exploits automáticos o kits comerciales como Metasploit en la fase de entrega, los atacantes emplean técnicas de empaquetado y evasión similares a las que se observan en operaciones con Cobalt Strike.

#### Impacto y Riesgos

El despliegue exitoso de NetSupport RAT otorga a los atacantes control total sobre los sistemas afectados, permitiendo desde la exfiltración de información confidencial hasta el movimiento lateral y la instalación de payloads adicionales (ransomware, stealers, etc.). Según estimaciones recientes, NetSupport RAT ha estado presente en aproximadamente el 12% de los incidentes de acceso remoto detectados en 2023. La facilidad de personalización y las capacidades de ofuscación complican la detección por sistemas EDR tradicionales.

En términos de cumplimiento normativo, una brecha causada por este tipo de ataques puede acarrear sanciones bajo la GDPR (Reglamento General de Protección de Datos) y, para entidades críticas, bajo la directiva NIS2.

#### Medidas de Mitigación y Recomendaciones

– **Bloqueo de dominios sospechosos:** Implementar listas negras y monitorizar dominios recientes relacionados con “gitcode” y “docusign”.
– **Restricción y monitorización de PowerShell:** Limitar la ejecución de PowerShell a usuarios autorizados, aplicar políticas de logging exhaustivo y desactivar la ejecución de scripts remotos cuando sea posible.
– **Sensibilización y formación:** Realizar campañas internas de concienciación sobre ingeniería social y phishing dirigido.
– **Herramientas de defensa:** Uso de soluciones EDR con capacidad de detección de actividad anómala en PowerShell y correlación de eventos con IoCs actualizados.

#### Opinión de Expertos

Especialistas en ciberseguridad, como David Barroso (CounterCraft), destacan la sofisticación creciente de estas campañas: “El abuso de herramientas legítimas como NetSupport RAT y la ofuscación avanzada en PowerShell dificultan la defensa tradicional. Es fundamental el análisis de comportamiento y la inteligencia de amenazas contextualizada”.

#### Implicaciones para Empresas y Usuarios

Para las organizaciones, un incidente de estas características puede traducirse en fuga de datos sensibles, paralización de operaciones y daños reputacionales, además de posibles multas regulatorias. Los usuarios, por su parte, se exponen a robo de credenciales, fraude y suplantación de identidad, especialmente si reutilizan contraseñas o acceden a servicios corporativos desde dispositivos comprometidos.

#### Conclusiones

La campaña de distribución de NetSupport RAT mediante scripts PowerShell y páginas falsas representa un ejemplo claro de la evolución de las amenazas basadas en ingeniería social y abuso de herramientas legítimas. La defensa efectiva requiere una combinación de tecnología, formación y monitorización continua. Es imperativo que los equipos de seguridad actualicen sus controles y procedimientos ante este tipo de amenazas emergentes, reforzando tanto la prevención como la capacidad de respuesta.

(Fuente: feeds.feedburner.com)