Pesquisadores em cibersegurança alertam para uma nova campanha chamada JS#SMUGGLER, que tem explorado sites comprometidos para distribuir um trojan de acesso remoto conhecido como NetSupport RAT.
A cadeia de ataque, analisada pela Securonix, envolve três componentes principais: um loader em JavaScript ofuscado injetado em sites, uma aplicação HTML (HTA) que executa stagers PowerShell criptografados por meio do mshta.exe, e um payload em PowerShell criado para baixar e iniciar o malware principal.
Segundo os pesquisadores Akshay Gaikwad, Shikha Sangwan e Aaron Beardslee, o NetSupport RAT oferece ao invasor controle total sobre a máquina da vítima, incluindo acesso remoto à área de trabalho, operações com arquivos, execução de comandos, roubo de dados e funcionalidades de proxy.
Até o momento, não há evidências suficientes que relacionem a campanha a algum grupo de ameaça conhecido ou a um país específico.
A atividade tem como alvo usuários corporativos por meio de sites comprometidos, sugerindo um ataque amplo e indiscriminado.
A Securonix descreveu a operação como um ataque web em múltiplas etapas que utiliza iframes ocultos, loaders ofuscados e execução em camadas de scripts para implantar malware e garantir controle remoto.
Nos ataques, redirecionamentos silenciosos inseridos nos sites infectados funcionam como um canal para um loader em JavaScript altamente criptografado (phone.js), obtido de um domínio externo.
Esse script identifica o dispositivo da vítima para decidir se exibe um iframe em tela cheia (quando o acesso é via celular) ou carrega um segundo script remoto (no caso de desktop).
O iframe invisível direciona o usuário a uma URL maliciosa.
O loader em JavaScript conta ainda com um mecanismo de rastreamento que ativa a payload maliciosa apenas na primeira visita, reduzindo as chances de detecção.
“Essa ramificação baseada no tipo de dispositivo permite que os atacantes adaptem o caminho da infecção, ocultem atividades maliciosas em determinados ambientes e aumentem a taxa de sucesso ao entregar payloads adequados para cada plataforma, evitando exposição desnecessária”, explicam os pesquisadores.
O script remoto baixado no primeiro estágio constrói dinamicamente uma URL para baixar um payload HTA, que é executado pelo mshta.exe.
O arquivo HTA, por sua vez, carrega outro loader que escreve, descriptografa e executa um stager temporário em PowerShell diretamente na memória, para evitar detecção.
Além disso, o HTA roda de forma discreta, sem exibir janelas visíveis e minimizado na inicialização.
Após a execução do payload descriptografado, o stager PowerShell é removido do disco e o processo termina, buscando minimizar vestígios forenses.
O objetivo final do payload em PowerShell é baixar e implantar o NetSupport RAT, garantindo ao atacante controle total sobre o sistema comprometido.
Segundo a Securonix, “a sofisticação e as técnicas complexas de evasão indicam um framework de malware profissional, ativo e bem mantido.” Para se proteger, os especialistas recomendam a aplicação rigorosa de Content Security Policy (CSP), monitoramento de scripts, registro detalhado do PowerShell, restrição do uso do mshta.exe e análises comportamentais para detectar essas ameaças.
### Campanha CHAMELEON#NET distribui malware Formbook
Essa divulgação ocorre semanas após a empresa reportar outra campanha multiestágio de malspam chamada CHAMELEON#NET, que utiliza phishing para entregar o malware Formbook, um keylogger e rouba dados.
Nessa investida, e-mails são enviados a usuários do setor de Seguridade Social Nacional, induzindo-os a baixar um arquivo compactado aparentemente inofensivo após tentativas de acesso com credenciais em um portal falso.
“A campanha começa com um phishing que engana a vítima para baixar um arquivo .BZ2, iniciando uma cadeia de infecção multiestágio”, explica Shikha Sangwan.
“O payload inicial é um arquivo JavaScript fortemente ofuscado, que atua como dropper para um loader VB.NET complexo.
Esse loader usa reflexão avançada e um cifrador XOR condicional personalizado para descriptografar e executar o Formbook RAT final inteiramente na memória.”
O dropper em JavaScript decodifica e grava em disco, na pasta %TEMP%, dois scripts adicionais:
- svchost.js: descarrega um executável .NET chamado DarkTortilla (QNaZg.exe), um crypter usado para entregar payloads posteriores;
- adobe.js: cria o arquivo PHat.jar, um instalador MSI que se comporta de forma semelhante ao svchost.js.
Nesse ataque, o loader descriptografa e executa uma DLL embarcada, o malware Formbook.
A persistência é garantida tanto pela inclusão do malware na pasta de inicialização do Windows quanto por entradas específicas no Registro do sistema, que fazem com que ele seja iniciado automaticamente.
“A combinação de engenharia social, ofuscação pesada e técnicas avançadas de evasão em .NET permite que os criminosos comprometam as vítimas com sucesso”, ressalta a Securonix.
“A rotina personalizada de descriptografia seguida do carregamento reflexivo possibilita a execução do payload final sem deixar arquivos persistentes, dificultando a detecção e a análise forense.”
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...