Исследователи компании Securonix задокументировали сложную многоступенчатую кампанию JS#SMUGGLER, в рамках которой злоумышленники взламывают легитимные веб‑ресурсы и используют их как плацдарм для доставки удалённого административного трояна NetSupport RAT. Основной фокус атак — корпоративные пользователи, посещающие скомпрометированные сайты в ходе обычной рабочей активности.
Как работает кампания JS#SMUGGLER: общая схема атаки
Цепочка заражения в JS#SMUGGLER построена по принципу «матрёшки» и включает три основных компонента: сильно обфусцированный JavaScript‑загрузчик, HTA‑файл, запускаемый через mshta.exe, и PowerShell‑пейлоад, который в конечном итоге доставляет NetSupport RAT. Такой многоуровневый подход усложняет анализ и помогает обходить средства защиты, ориентированные на единичные артефакты и сигнатуры.
По данным Securonix, NetSupport RAT предоставляет атакующему полный контроль над заражённой системой: удалённый рабочий стол, операции с файлами, выполнение произвольных команд, кражу данных, а также использование заражённого хоста как прокси‑узла. Фактически, жертва превращается в управляемый удалённый агент в инфраструктуре злоумышленников.
Первый этап: JavaScript-инжект, скрытый редирект и профилирование жертвы
Атака начинается с незаметного редиректа, внедрённого в код легитимного сайта. Этот редирект загружает внешнее JavaScript‑сценарий phone.js с отдельного домена и выполняет перенаправление пользователя в фоновом режиме, без видимых признаков для посетителя.
Скрипт phone.js сильно обфусцирован, что затрудняет его анализ и детектирование. Он выполняет профилирование устройства: определяет, является ли клиент мобильным или настольным устройством, и в зависимости от результата выбирает дальнейший сценарий. Для мобильных пользователей выводится полноэкранный iframe, а для десктоп‑систем загружается скрипт второй стадии, запускающий дальнейшую цепочку заражения.
Важная особенность JS#SMUGGLER — использование невидимого iframe, который перенаправляет только первый визит по конкретному идентификатору. Такой «одноразовый триггер» снижает вероятность обнаружения: анализаторы трафика и специалисты по безопасности могут не увидеть вредоносное поведение при повторных проверках того же URL.
Исследователи отмечают, что ветвление логики в зависимости от устройства позволяет злоумышленникам оптимизировать доставку вредоносных пейлоадов для нужной платформы, избегать лишних рисков в неинтересных для них средах и маскировать вредоносную активность под легитимный пользовательский трафик.
Второй этап: HTA-файл, mshta.exe и PowerShell-стейджеры
JavaScript‑загрузчик первой стадии динамически формирует URL для загрузки HTA‑пейлоада и запускает его с помощью системной утилиты mshta.exe. HTA (HTML Application) — это формат, позволяющий выполнять HTML/JavaScript как приложение Windows, что делает его удобным инструментом для злоумышленников, поскольку он поддерживается штатными механизмами ОС.
Загруженный HTA‑файл выполняет роль ещё одного загрузчика. Он разворачивает временный PowerShell‑стейджер, который записывается на диск, расшифровывается и затем выполняется непосредственно в оперативной памяти. При этом интерфейс HTA‑приложения скрывается: отключаются стандартные элементы окна, а само приложение сворачивается, что делает запуск незаметным для пользователя.
Основная функция расшифрованного PowerShell‑пейлоада — загрузить и установить на систему конечную полезную нагрузку, NetSupport RAT, закрепив присутствие злоумышленника на скомпрометированном хосте. Использование выполнения в памяти (in‑memory execution) позволяет минимизировать следы на диске и осложняет работу антивирусных решений, полагающихся на файловый анализ.
Возможная связь JS#SMUGGLER с группировкой SmartApeSG
Домен, с которого загружается JavaScript‑загрузчик (boriver[.]com), отмечен на платформе Abuse.ch как связанный с группировкой SmartApeSG (также известной как HANEYMANEY и ZPHP). Эта группа, по открытым данным, с конца 2024 года активно задействует JavaScript‑инжекты на легитимных сайтах для распространения NetSupport RAT.
Несмотря на совпадения по инфраструктуре и типу используемой малвари, Securonix пока не даёт окончательного заключения, является ли кампания JS#SMUGGLER прямой операцией SmartApeSG или же другой актор использует пересекающиеся домены и тактики. Также не установлена чёткая привязка к какой‑либо конкретной стране или APT‑группировке.
Риски для корпоративных пользователей и рекомендации по защите
Особую опасность JS#SMUGGLER представляет для корпоративного сектора, поскольку атака опирается на доверие к легитимным сайтам, которым сотрудники пользуются ежедневно. В таких сценариях классическая модель «не переходить по подозрительным ссылкам» работает хуже: компрометирован может быть вполне известный и ранее безопасный ресурс.
С точки зрения защиты эксперты Securonix рекомендуют организациям реализовать многоуровневый подход к обнаружению подобных цепочек атак. Среди ключевых мер:
1. Жёсткие Content Security Policy (CSP). Ограничение доменов, с которых могут загружаться скрипты и iframe, позволяет блокировать нежелательные внешние JavaScript‑ресурсы и HTA‑пейлоады.
2. Мониторинг и логирование PowerShell. Включение расширенного аудита PowerShell, запрет несанкционированного запуска скриптов и использование Constrained Language Mode значительно усложняют злоумышленникам выполнение стейджеров.
3. Ограничение использования mshta.exe и HTA. В большинстве корпоративных сред HTA‑приложения не требуются для регулярной работы. Блокировка mshta.exe через AppLocker, WDAC или аналогичные механизмы существенно снижает поверхность атаки.
4. Поведенческий анализ и EDR‑решения. Современные системы обнаружения и реагирования (EDR/XDR) способны выявлять аномальные цепочки запуска процессов (браузер → mshta.exe → PowerShell) и нетипичные сетевые соединения к подозрительным доменам.
Учитывая растущую популярность NetSupport RAT и подобных инструментов удалённого доступа, организациям важно регулярно пересматривать свои политики безопасности, обновлять средства защиты и обучать сотрудников осознанному обращению с веб‑ресурсами, даже если они кажутся полностью доверенными. Проактивный мониторинг, сегментация сети и своевременное реагирование на инциденты остаются ключевыми факторами снижения ущерба от сложных кампаний вроде JS#SMUGGLER.
