Исследователи из компании Securonix обнаружили кампанию JS#SMUGGLER — злоумышленники взламывают легитимные сайты и используют их для распространения трояна NetSupport RAT.
Цепочка атаки состоит из трех ключевых компонентов: обфусцированного JavaScript-загрузчика, внедренного на сайт, HTA-файла, который запускает зашифрованные PowerShell-стейджеры через mshta.exe, а также PowerShell-пейлоада, загружающего финальную полезную нагрузку.
Пока исследователям не удалось связать атаки JS#SMUGGLER с какой-либо конкретной APT-группировкой или страной. Отмечается, что атаки в основном нацелены на корпоративных пользователей.
Специалисты описывают JS#SMUGGLER как многоступенчатую угрозу, которая задействует скрытые iframe, обфусцированные загрузчики и многоуровневое выполнение скриптов для развертывания малвари и удаленного управления.
Атака начинается с тихого редиректа, внедренного на зараженный сайт. Он выступает проводником для сильно обфусцированного JavaScript-загрузчика (phone.js), который подгружается с внешнего домена. Загрузчик профилирует устройство жертвы и в зависимости от типа устройства выбирает сценарий: для мобильных устройств применяется отображение полноэкранного iframe, а для десктопов подгружается удаленный скрипт второй стадии атаки.
Невидимый iframe направляет жертву на вредоносный URL. JavaScript-загрузчик включает механизм отслеживания, чтобы вредоносная логика срабатывала только один раз — при первом визите (что снижает риск обнаружения кампании).
Скрипт, загруженный на первой стадии атаки, на лету формирует URL, с которого загружается HTA-пейлоад, и запускает его через mshta.exe. HTA-файл работает как еще один загрузчик для временного PowerShell-стейджера, который записывается на диск, расшифровывается и выполняется напрямую в памяти. Более того, HTA-файл запускается скрытно — отключаются все видимые элементы окна, а приложение сворачивается.
Основная задача расшифрованного PowerShell-пейлоада — загрузить и развернуть на машине жертвы NetSupport RAT, передавая атакующим полный контроль над скомпрометированным хостом.
Интересно, что домен, с которого скачивается JavaScript-загрузчик (boriver[.]com), помечен на Abuse.ch как связанный с группировкой SmartApeSG (она же HANEYMANEY и ZPHP). Эта группа с конца 2024 года активно использует легитимные сайты, зараженные JavaScript-инжектами, для распространения NetSupport RAT. Однако пока неясно, является ли JS#SMUGGLER работой той же группировки.
Источник
Цепочка атаки состоит из трех ключевых компонентов: обфусцированного JavaScript-загрузчика, внедренного на сайт, HTA-файла, который запускает зашифрованные PowerShell-стейджеры через mshta.exe, а также PowerShell-пейлоада, загружающего финальную полезную нагрузку.
Пока исследователям не удалось связать атаки JS#SMUGGLER с какой-либо конкретной APT-группировкой или страной. Отмечается, что атаки в основном нацелены на корпоративных пользователей.
Специалисты описывают JS#SMUGGLER как многоступенчатую угрозу, которая задействует скрытые iframe, обфусцированные загрузчики и многоуровневое выполнение скриптов для развертывания малвари и удаленного управления.
Атака начинается с тихого редиректа, внедренного на зараженный сайт. Он выступает проводником для сильно обфусцированного JavaScript-загрузчика (phone.js), который подгружается с внешнего домена. Загрузчик профилирует устройство жертвы и в зависимости от типа устройства выбирает сценарий: для мобильных устройств применяется отображение полноэкранного iframe, а для десктопов подгружается удаленный скрипт второй стадии атаки.
Невидимый iframe направляет жертву на вредоносный URL. JavaScript-загрузчик включает механизм отслеживания, чтобы вредоносная логика срабатывала только один раз — при первом визите (что снижает риск обнаружения кампании).
Скрипт, загруженный на первой стадии атаки, на лету формирует URL, с которого загружается HTA-пейлоад, и запускает его через mshta.exe. HTA-файл работает как еще один загрузчик для временного PowerShell-стейджера, который записывается на диск, расшифровывается и выполняется напрямую в памяти. Более того, HTA-файл запускается скрытно — отключаются все видимые элементы окна, а приложение сворачивается.
Основная задача расшифрованного PowerShell-пейлоада — загрузить и развернуть на машине жертвы NetSupport RAT, передавая атакующим полный контроль над скомпрометированным хостом.
Интересно, что домен, с которого скачивается JavaScript-загрузчик (boriver[.]com), помечен на Abuse.ch как связанный с группировкой SmartApeSG (она же HANEYMANEY и ZPHP). Эта группа с конца 2024 года активно использует легитимные сайты, зараженные JavaScript-инжектами, для распространения NetSupport RAT. Однако пока неясно, является ли JS#SMUGGLER работой той же группировки.
Источник
