)
Pesquisadores de ameaças identificaram uma nova campanha de malware multiestágio baseada na web chamada JS#SMUGGLER, que usa sites comprometidos para espalhar o trojan de acesso remoto NetSupport RAT. A sofisticação do ataque e sua capacidade de permanecer oculto representam uma evolução significativa nas táticas de cibercriminosos.
A cadeia de ataque, analisada pela Securonix, funciona como uma armadilha em três camadas: primeiro, os invasores injetam um código JavaScript ofuscado em sites legítimos que foram hackeados.
Nossos vídeos em destaque
Como funciona o ataque
Quando o usuário visita esses sites, o código baixa automaticamente um arquivo disfarçado que usa ferramentas nativas do Windows (como o "mshta.exe") para executar comandos secretos. Por fim, esses comandos instalam o malware principal no computador da vítima.
Os redirecionamentos silenciosos incorporados nos sites infectados agem como um canal para o carregador JavaScript ("phone.js"), obtido de um domínio externo. Esse carregador analisa o dispositivo para determinar se deve exibir um iframe em tela cheia (no caso de celulares) ou executar um script remoto (em computadores).
O iframe direciona a vítima para o link malicioso, enquanto um mecanismo de rastreamento garante que cada usuário seja infectado apenas uma vez, reduzindo riscos de detecção.
Táticas de evasão
O ataque opera de forma completamente invisível. O primeiro código monta dinamicamente um endereço web e baixa o próximo estágio, que funciona como intermediário para carregar um terceiro código.
Este é gravado no disco, descriptografado e executado diretamente na memória - uma técnica conhecida como "fileless malware" que dificulta a detecção por antivírus tradicionais.
Todas as janelas são desativadas e o programa se minimiza automaticamente, impedindo que o usuário perceba qualquer atividade suspeita. Após a execução, o malware apaga seus próprios rastros do disco rígido antes de se encerrar, eliminando evidências que poderiam ser usadas em análises forenses posteriores.
A estratégia de usar ferramentas legítimas do Windows, uma técnica conhecida como "living off the land", torna o ataque ainda mais difícil de detectar, já que sistemas de segurança geralmente confiam em processos nativos do sistema operacional.
O perigo do NetSupport RAT
O objetivo final é instalar o NetSupport RAT, ironicamente um software legítimo de acesso remoto, que costuma ser abusado por criminosos. Uma vez instalado, ele concede aos atacantes controle total sobre a máquina comprometida - permitindo visualizar e roubar arquivos confidenciais, capturar senhas digitadas, acessar a webcam e o microfone, monitorar a tela em tempo real e executar praticamente qualquer ação no computador da vítima sem seu conhecimento.
Esse tipo de acesso pode resultar em roubo de dados corporativos sensíveis, espionagem industrial, sequestro de credenciais bancárias e até mesmo servir como porta de entrada para ataques mais amplos à rede da organização.
Escala e atribuição
Até agora, a JS#SMUGGLER não foi vinculada a nenhum grupo cibercriminoso específico nem a qualquer país. Os especialistas da Securonix afirmam que todos os usuários corporativos são alvos da campanha, o que indica um esforço de grande escala com motivações potencialmente financeiras ou de espionagem.
A falta de atribuição clara sugere que os atacantes estão tomando medidas extras para ocultar sua identidade e infraestrutura, dificultando rastreamento e possíveis ações de resposta por parte das autoridades.
Para continuar informado sobre este caso, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
