Исследователи из компании Securonix обнаружили кампанию JS#SMUGGLER — злоумышленники взламывают легитимные сайты и используют их для распространения трояна NetSupport RAT.
Цепочка атаки состоит из трех ключевых компонентов: обфусцированного JavaScript-загрузчика, внедренного на сайт, HTA-файла, который запускает зашифрованные PowerShell-стейджеры через mshta.exe, а также PowerShell-пейлоада, загружающего финальную полезную нагрузку.
«NetSupport RAT дает атакующему полный контроль над машиной жертвы — от удаленного рабочего стола и операций с файлами до выполнения команд, кражи данных и прокси-функциональности», — объясняют эксперты.
Пока исследователям не удалось связать атаки JS#SMUGGLER с какой-либо конкретной APT-группировкой или страной. Отмечается, что атаки в основном нацелены на корпоративных пользователей.
Специалисты описывают JS#SMUGGLER как многоступенчатую угрозу, которая задействует скрытые iframe, обфусцированные загрузчики и многоуровневое выполнение скриптов для развертывания малвари и удаленного управления.
Атака начинается с тихого редиректа, внедренного на зараженный сайт. Он выступает проводником для сильно обфусцированного JavaScript-загрузчика (phone.js), который подгружается с внешнего домена. Загрузчик профилирует устройство жертвы и в зависимости от типа устройства выбирает сценарий: для мобильных устройств применяется отображение полноэкранного iframe, а для десктопов подгружается удаленный скрипт второй стадии атаки.
Невидимый iframe направляет жертву на вредоносный URL. JavaScript-загрузчик включает механизм отслеживания, чтобы вредоносная логика срабатывала только один раз — при первом визите (что снижает риск обнаружения кампании).
«Такое зависящее от устройства ветвление позволяет атакующим подстраивать вектор заражения под конкретную платформу, скрывать активность от определенных сред и максимизировать эффективность, доставляя подходящие пейлоады и избегая ненужных рисков», — говорят исследователи.
Скрипт, загруженный на первой стадии атаки, на лету формирует URL, с которого загружается HTA-пейлоад, и запускает его через mshta.exe. HTA-файл работает как еще один загрузчик для временного PowerShell-стейджера, который записывается на диск, расшифровывается и выполняется напрямую в памяти. Более того, HTA-файл запускается скрытно — отключаются все видимые элементы окна, а приложение сворачивается.
Основная задача расшифрованного PowerShell-пейлоада — загрузить и развернуть на машине жертвы NetSupport RAT, передавая атакующим полный контроль над скомпрометированным хостом.
«Изощренность и многоуровневые техники обхода защитных механизмов явно указывают на активно поддерживаемый, профессиональный вредоносный фреймворк, — отмечают в Securonix. — Защитникам следует применять строгие CSP-политики, отслеживание скриптов, логирование PowerShell, ограничения для mshta.exe и поведенческий анализ для эффективного обнаружения подобных атак».
Интересно, что домен, с которого скачивается JavaScript-загрузчик (boriver[.]com), помечен на Abuse.ch как связанный с группировкой SmartApeSG (она же HANEYMANEY и ZPHP). Эта группа с конца 2024 года активно использует легитимные сайты, зараженные JavaScript-инжектами, для распространения NetSupport RAT. Однако пока неясно, является ли JS#SMUGGLER работой той же группировки.
