Pesquisadores alertaram para uma campanha denominada JS#SMUGGLER que aproveita sites comprometidos como vetor de distribuição para o NetSupport RAT. A análise citada no relatório aponta uma cadeia de ataque com um loader JavaScript ofuscado, um arquivo HTA e um payload final que instala o RAT.
Descoberta e escopo / O que mudou agora
A campanha foi detalhada por analistas da Securonix e noticiada por veículo especializado. Segundo a apuração, operadores injetam um loader JavaScript ofuscado em páginas legítimas comprometidas; o loader entrega um arquivo HTA que executa código encriptado e, em seguida, instala o NetSupport RAT.
Vetor e exploração / Mitigações técnicas
O vetor primário descrito é a comprometimento de sites que passam a servir um loader malicioso — técnica que explora a confiança em conteúdos legítimos. O uso de HTA (HTML Application) permite execução de payloads no contexto do Windows quando o usuário abre o arquivo.
Medidas práticas indicadas pelas práticas de resposta a incidentes e pela lógica do ataque incluem:
- verificar integridade e histórico de alterações de sites públicos e sistemas de gerenciamento de conteúdo para identificar injeções de script;
- bloquear ou monitorar downloads/execução de HTA e arquivos executáveis vindos de fontes web não confiáveis;
- acionar detecção e bloqueio de comunicações com domínios/servidores de comando e controle relacionados ao NetSupport;
- garantir que EDR/AV detectem indicadores conhecidos do NetSupport RAT e que assinaturas comportamentais estejam atualizadas.
Impacto e alcance / Setores afetados
O uso de sites legítimos comprometidos amplia o alcance potencial porque usuários confiam no domínio que visitam. Não há, no relato público, métricas sobre número de vítimas ou setores específicos afetados. Sem esses dados, não é possível estimar a escala do comprometimento.
Limites das informações / O que falta saber
- Não foram divulgadas estatísticas sobre volume de sites comprometidos ou número de máquinas infectadas.
- Faltam IOCs completos e domínios C2 confirmados na divulgação acessível ao público nesta matéria.
Repercussão / Ações recomendadas
Equipes de segurança web e de resposta a incidentes devem auditar websites públicos, implementar monitoramento de integridade de conteúdo, restringir execução de HTA em endpoints e inspecionar tráfego para domínios suspeitos. A falta de dados públicos mais profundos exige cautela: bloqueios baseados em comportamento e análises forenses são a via mais segura para identificar e conter casos relacionados.