Pesquisadores de segurança cibernética detectaram uma nova e complexa campanha de malware, batizada de JS#SMUGGLER. Esta ameaça utiliza sites legítimos comprometidos para disseminar o perigoso trojan de acesso remoto NetSupport RAT, demonstrando uma evolução nas táticas dos criminosos digitais devido à sua sofisticação e capacidade de evasão.
A cadeia de ataque, detalhadamente analisada por especialistas, opera em uma estrutura de três camadas. Inicialmente, os atacantes inserem um código JavaScript ofuscado em portais legítimos que foram previamente invadidos.
Como o Ataque Funciona
Quando um usuário desavisado visita um desses sites, o código malicioso automaticamente inicia o download de um arquivo disfarçado. Este arquivo, por sua vez, explora ferramentas nativas do Windows (como o ‘mshta.exe’) para executar comandos ocultos que culminam na instalação do malware principal no computador da vítima.
Os redirecionamentos invisíveis presentes nos sites comprometidos servem como um vetor para o carregador JavaScript (‘phone.js’), que é obtido de um domínio externo. Este carregador inteligente avalia o tipo de dispositivo: em celulares, exibe um iframe em tela cheia; em computadores, executa um script remoto. O iframe direciona a vítima para o link infectado, e um mecanismo de rastreamento assegura que cada usuário seja infectado apenas uma vez, minimizando o risco de detecção.
Táticas de Evasão
Uma característica marcante deste ataque é sua operação completamente invisível. O código inicial constrói dinamicamente um endereço web para baixar o estágio seguinte, que atua como intermediário. O terceiro e último código é então gravado no disco, descriptografado e executado diretamente na memória – uma técnica sofisticada conhecida como ‘malware sem arquivo‘ (fileless malware), que evade a detecção de softwares antivírus convencionais.
Durante a execução, todas as janelas são desativadas e o programa se minimiza automaticamente para evitar que o usuário note qualquer atividade incomum. Após completar sua tarefa, o malware apaga meticulosamente seus próprios rastros do disco rígido antes de finalizar, removendo quaisquer evidências que poderiam auxiliar em análises forenses futuras.
A utilização de ferramentas legítimas do próprio Windows, uma tática denominada ‘living off the land‘, eleva ainda mais o desafio da detecção. Isso ocorre porque os sistemas de segurança tendem a confiar nos processos nativos do sistema operacional, tornando difícil distinguir atividades maliciosas.
O Perigo do NetSupport RAT
O objetivo final da campanha é a instalação do NetSupport RAT. Este software, que é legitimamente usado para acesso remoto, é ironicamente abusado por criminosos para fins maliciosos. Uma vez instalado, o NetSupport RAT concede aos atacantes controle total sobre o computador comprometido, possibilitando uma série de ações nefastas, como:
- Visualizar e roubar arquivos confidenciais;
- Capturar senhas digitadas;
- Acessar a webcam e o microfone;
- Monitorar a tela em tempo real;
- Executar praticamente qualquer comando no computador da vítima sem seu conhecimento.
Este nível de acesso pode ter consequências devastadoras, incluindo o roubo de dados corporativos sensíveis, espionagem industrial, sequestro de credenciais bancárias e até mesmo a criação de uma porta de entrada para ataques mais amplos à rede da organização afetada.
Escala e Atribuição
Até o momento, a campanha JS#SMUGGLER não foi associada a nenhum grupo cibercriminoso ou país específico. No entanto, especialistas em segurança indicam que todos os usuários corporativos são alvos potenciais, sugerindo um esforço de larga escala com prováveis motivações financeiras ou de espionagem.
A ausência de uma atribuição clara reforça a ideia de que os atacantes estão empregando esforços adicionais para ocultar sua identidade e infraestrutura, complicando o rastreamento e as ações de resposta das autoridades.
