JS#SMUGGLER instala o NetSupport RAT em PCs Windows por meio de sites comprometidos, usando JavaScript ofuscado, HTA oculto e PowerShell fileless para obter acesso remoto persistente.
A campanha e a vulnerabilidade explorada
A Securonix identificou uma campanha web em três estágios, batizada de JS#SMUGGLER, que injeta um loader JavaScript em sites comprometidos e direciona o ataque apenas para usuários em desktop, reduzindo ruído e chances de detecção. O objetivo final é distribuir o NetSupport RAT, uma ferramenta legítima de administração remota transformada em trojan, capaz de dar controle total do desktop ao atacante.
Como a infecção é realizada
No primeiro estágio, um JavaScript altamente ofuscado é carregado de domínios como boriver.com, verifica o tipo de dispositivo e, se for desktop, busca o próximo estágio em domínios como stoneandjon.com, garantindo que o código malicioso rode apenas uma vez por vítima. O segundo estágio é um HTML Application (HTA) executado de forma invisível via mshta.exe, que descriptografa e descompacta, apenas em memória, um payload PowerShell protegido por camadas de AES‑256‑ECB, Base64 e GZIP, evitando escrita de arquivos no disco.
No terceiro estágio, o PowerShell baixa um pacote comprimido de domínios como kindstki.com, instala o NetSupport em um diretório “discreto”, por exemplo C:\ProgramData\CommunicationLayer\, e cria um atalho falso de inicialização, como WindowsUpdate.lnk, para garantir persistência a cada logon. Uma vez ativo, o NetSupport RAT permite ao operador controlar o desktop, exfiltrar arquivos, executar comandos e monitorar a atividade do usuário de forma contínua.
Medidas recomendadas
- Bloquear/dominar domínios e IoCs associados (por exemplo,
boriver.com,stoneandjon.com,kindstki.com) em proxies, DNS e firewalls. - Monitorar execuções suspeitas de
mshta.exee PowerShell obfuscado/fileless, especialmente quando iniciados a partir de navegadores ou processos não administrativos. - Revisar atalhos na pasta de inicialização, diretórios como
ProgramData, e verificar presença de instalações não autorizadas do NetSupport Manager.






