Die Sicherheitsforscher von Securonix haben eine komplexe Kampagne mit der Bezeichnung JS#SMUGGLER analysiert. Angreifer kompromittieren dabei legitime Webseiten und nutzen sie als Sprungbrett, um den Remote-Access-Trojaner NetSupport RAT in Unternehmensumgebungen einzuschleusen. Besonders kritisch ist, dass Mitarbeiter die betroffenen Seiten im Rahmen völlig normaler Arbeitsszenarien aufrufen.
Angriffskette von JS#SMUGGLER: Von JavaScript-Injekt bis Remote-Access-Trojaner
Die Infektionskette von JS#SMUGGLER folgt einem mehrstufigen „Matroschka“-Prinzip. Sie besteht aus einem stark verschleierten JavaScript-Loader, einem darüber gestarteten HTA-Dokument (HTML Application), das über mshta.exe ausgeführt wird, sowie einem PowerShell-Payload. Am Ende dieser Kette steht die Installation von NetSupport RAT.
NetSupport RAT ist ursprünglich ein legitimes Fernwartungswerkzeug, wird jedoch zunehmend als Remote-Access-Trojaner missbraucht. Nach der Kompromittierung erhält der Angreifer umfassende Kontrolle über das System: Desktop-Fernzugriff, Dateiverwaltung, Ausführung beliebiger Befehle, Datendiebstahl und die Nutzung des infizierten Rechners als Proxy-Knoten.
Erste Stufe: Versteckter Redirect, Device-Fingerprinting und einmalige Trigger
Der Angriff beginnt mit einem unauffälligen JavaScript-Injekt in einer eigentlich vertrauenswürdigen Webseite. Dieses Snippet sorgt für einen versteckten Redirect, der im Hintergrund das externe Skript phone.js von einem separaten Domainnamen nachlädt und ausführt – für den Nutzer ohne sichtbare Veränderung der Seite.
Das Skript phone.js ist stark obfuskiert, um statische Analysen und Signaturerkennung zu erschweren. Es führt zunächst ein Profiling des Endgeräts durch und unterscheidet zwischen mobilen Clients und Desktop-Systemen. Mobile Nutzer erhalten ein vollflächiges iframe-Fenster, während Desktop-Besucher an ein Skript der zweiten Stufe weitergereicht werden, das die eigentliche Infektionskette startet. So wird die Schadaktivität gezielt auf jene Systeme konzentriert, die für die Angreifer interessant sind.
Eine Besonderheit von JS#SMUGGLER ist der Einsatz eines unsichtbaren iframes mit Einmal-Trigger. Der Redirect wird nur beim ersten Aufruf eines bestimmten Identifikators ausgelöst. Bei späteren Besuchen desselben Nutzers zeigt die Seite wieder reguläres Verhalten. Dieses Taktik reduziert die Wahrscheinlichkeit, dass Sicherheitsanalysten oder automatisierte Crawler beim wiederholten Testen des gleichen Links das bösartige Verhalten feststellen.
Zweite Stufe: Missbrauch von HTA-Dateien, mshta.exe und PowerShell-Malware
In der nächsten Phase generiert der JavaScript-Loader dynamisch eine URL zu einem HTA-Payload und startet diesen über mshta.exe. HTA-Dateien erlauben es, HTML- und JavaScript-Code mit erweiterten Systemrechten als Windows-Anwendung auszuführen. Genau diese enge Integration in das Betriebssystem macht HTA aus Sicht der Angreifer besonders attraktiv.
Das geladene HTA-Dokument fungiert als weiterer Loader. Es schreibt einen temporären PowerShell-Stager auf das System, entschlüsselt diesen und führt ihn anschließend direkt im Arbeitsspeicher aus. Das HTA-Fenster selbst wird optisch kaschiert: Standard-UI-Elemente werden ausgeblendet und die Anwendung minimiert, sodass der gesamte Vorgang für den Anwender nahezu unsichtbar bleibt.
Der entschlüsselte PowerShell-Payload ist dafür zuständig, NetSupport RAT nachzuladen, zu installieren und im System zu verankern. Durch die weitgehende in-memory-Ausführung entstehen nur minimale Spuren auf dem Datenträger. Klassische Antivirenlösungen, die hauptsächlich dateibasierte Signaturen heranziehen, haben es dadurch deutlich schwerer, die Infektion zu erkennen.
Mögliche Verbindung zur Gruppe SmartApeSG
Das für den JavaScript-Loader verwendete Domain boriver[.]com ist laut der Plattform Abuse.ch mit der Gruppierung SmartApeSG (auch bekannt als HANEYMANEY bzw. ZPHP) verknüpft. Öffentliche Analysen beschreiben, dass diese Gruppe seit Ende 2024 verstärkt JavaScript-Injektionen in legitimen Webseiten nutzt, um NetSupport RAT zu verbreiten.
Ob JS#SMUGGLER direkt von SmartApeSG betrieben wird oder ob ein anderer Akteur lediglich Infrastruktur und Taktiken wiederverwendet, ist derzeit nicht abschließend geklärt. Ebenso liegt noch keine belastbare Zuordnung zu einer bestimmten Region oder staatlich unterstützten APT-Gruppe vor. Die Kampagne zeigt jedoch typische Merkmale moderner, wirtschaftlich motivierter Cyberkriminalität.
Risiken für Unternehmen und empfohlene Schutzmaßnahmen
Warum klassische Awareness nicht mehr ausreicht
JS#SMUGGLER ist für Unternehmensnetzwerke besonders gefährlich, da der Angriffsvektor auf vertrauenswürdigen Webseiten basiert. Mitarbeitende folgen keinen offensichtlich zweifelhaften Links, sondern rufen bekannte Portale oder Dienstleister auf, die zuvor kompromittiert wurden. Damit stößt das einfache Awareness-Paradigma „klicke nicht auf verdächtige Links“ an seine Grenzen.
Technische Gegenmaßnahmen gegen JS#SMUGGLER und NetSupport RAT
1. Strenge Content Security Policy (CSP). Unternehmen sollten CSP-Regeln einsetzen, die klar definieren, von welchen Domains Skripte und iframes geladen werden dürfen. So lassen sich unautorisierte externe JavaScript-Ressourcen und potenzielle HTA-Downloads bereits auf Browser-Ebene unterbinden.
2. Überwachung und Härtung von PowerShell. Aktivierte Optionen wie Script Block Logging und erweiterte PowerShell-Audits ermöglichen eine detaillierte Nachvollziehbarkeit von Befehlen. In Kombination mit Constrained Language Mode, signierten Skripten und Execution-Policy-Einschränkungen sinkt der Spielraum für PowerShell-Malware erheblich.
3. Blockieren von mshta.exe und HTA-Dateien. In den meisten Unternehmensumgebungen werden HTA-Anwendungen nicht produktiv benötigt. Die Ausführung von mshta.exe lässt sich über AppLocker, Windows Defender Application Control (WDAC) oder vergleichbare Application-Control-Lösungen gezielt unterbinden und reduziert damit die Angriffsfläche deutlich.
4. EDR/XDR und verhaltensbasierte Erkennung. Moderne Endpoint Detection and Response (EDR) bzw. XDR-Lösungen erkennen typische Prozessketten wie Browser → mshta.exe → PowerShell sowie auffällige Netzwerkverbindungen zu unbekannten oder neu registrierten Domains. Solche Muster sind ein starkes Indiz für Kampagnen wie JS#SMUGGLER.
5. Netzwerksegmentierung und geringste Privilegien. Selbst wenn ein System durch NetSupport RAT kompromittiert wird, begrenzen strikte Segmentierung, lokale Konten mit minimalen Rechten und die Trennung kritischer Systeme den möglichen Schaden und erschweren die laterale Bewegung des Angreifers.
Angesichts der zunehmenden Nutzung legitimer Remote-Access-Tools wie NetSupport RAT durch Cyberkriminelle sollten Unternehmen ihre Sicherheitsarchitektur regelmäßig überprüfen, Härtungsmaßnahmen umsetzen und Erkennungsregeln an aktuelle Angriffsmuster anpassen. Wer Logs und EDR-Alarme aktiv auswertet, Skriptausführungen einschränkt und Browser- wie Serverkonfigurationen (CSP, Patch-Management) systematisch pflegt, reduziert das Risiko erheblich, in komplexe Kampagnen wie JS#SMUGGLER hineingezogen zu werden.
