hackers miram itália e espanha no covid-19

NetSupport legítimo vira ferramenta de controle total do invasor

JS#SMUGGLER instala o NetSupport RAT em PCs Windows por meio de sites comprometidos, usando JavaScript ofuscado, HTA oculto e PowerShell fileless para obter acesso remoto persistente.

A campanha e a vulnerabilidade explorada

A Securonix identificou uma campanha web em três estágios, batizada de JS#SMUGGLER, que injeta um loader JavaScript em sites comprometidos e direciona o ataque apenas para usuários em desktop, reduzindo ruído e chances de detecção. O objetivo final é distribuir o NetSupport RAT, uma ferramenta legítima de administração remota transformada em trojan, capaz de dar controle total do desktop ao atacante.

Como a infecção é realizada

No primeiro estágio, um JavaScript altamente ofuscado é carregado de domínios como boriver.com, verifica o tipo de dispositivo e, se for desktop, busca o próximo estágio em domínios como stoneandjon.com, garantindo que o código malicioso rode apenas uma vez por vítima. O segundo estágio é um HTML Application (HTA) executado de forma invisível via mshta.exe, que descriptografa e descompacta, apenas em memória, um payload PowerShell protegido por camadas de AES‑256‑ECB, Base64 e GZIP, evitando escrita de arquivos no disco.

No terceiro estágio, o PowerShell baixa um pacote comprimido de domínios como kindstki.com, instala o NetSupport em um diretório “discreto”, por exemplo C:\ProgramData\CommunicationLayer\, e cria um atalho falso de inicialização, como WindowsUpdate.lnk, para garantir persistência a cada logon. Uma vez ativo, o NetSupport RAT permite ao operador controlar o desktop, exfiltrar arquivos, executar comandos e monitorar a atividade do usuário de forma contínua.

Medidas recomendadas

  • Bloquear/dominar domínios e IoCs associados (por exemplo, boriver.comstoneandjon.comkindstki.com) em proxies, DNS e firewalls.
  • Monitorar execuções suspeitas de mshta.exe e PowerShell obfuscado/fileless, especialmente quando iniciados a partir de navegadores ou processos não administrativos.
  • Revisar atalhos na pasta de inicialização, diretórios como ProgramData, e verificar presença de instalações não autorizadas do NetSupport Manager.