14 мая 2026 года эксперты ThreatLabz из Zscaler зафиксировали аномальный всплеск активности, связанный с группировкой SmartApeSG. В ходе расследования выяснилось, что злоумышленники внедрили вредоносный код в легитимный виджет отзывов Okendo Reviews. Эта платформа используется более чем 18 тысячами брендов, и compromise одного модуля привёл к массовому заражению всех сайтов, где был установлен виджет. Поскольку Okendo часто применяют на страницах интернет-магазинов - главных страницах, карточках товаров и формах отзывов, число потенциально пострадавших посетителей оказалось крайне велико.
Описание
SmartApeSG (известна также как ZPHP или HANEYMANEY) неоднократно фигурировала в прошлых кампаниях, завершавшихся установкой троянов удалённого доступа NetSupport и Remcos, а также информационных стилеров вроде StealC. На этот раз атакующие применили staged-загрузчик на JavaScript. Он не пытался выполнить все действия сразу, а поэтапно восстанавливал следующую стадию, снижая заметность для систем мониторинга.
Внедрённый скрипт содержал несколько ключевых механизмов. Для предотвращения повторного выполнения использовался localStorage: при первом запуске записывалась временная метка, и при последующих загрузках страницы код обходил повторную активацию. Это уменьшало шум и снижало вероятность обнаружения при тестировании. Кроме того, злоумышленники применяли фильтрацию по User-Agent: скрипт выполнялся только в десктопных браузерах, что характерно для дальнейшей социальной инженерии типа ClickFix, рассчитанной на взаимодействие с клавиатурой и мышью.
Инфраструктура для загрузки следующей стадии не хранилась в открытом виде. Как показал анализ ThreatLabz, путь к серверу был разбит на закодированные фрагменты. Во время выполнения применялось XOR-декодирование, после чего скрипт генерировал случайный 8-символьный токен и динамически добавлял в страницу новый элемент "<script>". Такой подход усложнял статический анализ и обход простейших сигнатур.
После того как скрипт реконструировал URL, он загружал следующий этап - обычно это была поддельная страница проверки CAPTCHA или подтверждения. Пользователю предлагали скопировать команду и выполнить её через меню "Выполнить" Windows. Далее шла полезная нагрузка: PowerShell-скрипт или HTA-загрузчик, который скачивал и запускал финальный вредоносный код - RAT или стилер.
Оценка масштабов компрометации показала, что среди пострадавших сайтов есть как средние магазины с аудиторией около 150 тысяч посетителей в месяц, так и крупные розничные сети с несколькими миллионами. В одном случае под удар попал сайт популярного американского бренда, который посещают примерно 7 миллионов пользователей ежемесячно. Важно подчеркнуть, что эти цифры отражают трафик на заражённые страницы, а не количество фактически скомпрометированных систем, но сам факт столь широкого охвата демонстрирует потенциал атак на цепочку поставок.
По данным Zscaler, 14 мая 2026 года в облаке блокировок было зафиксировано почти 15 тысяч срабатываний за один день - всплеск, который и позволил обнаружить инцидент. Команда Okendo подтвердила, что знает о проблеме, и восстановила оригинальный скрипт виджета до чистого состояния.
Этот случай ещё раз напоминает, насколько уязвимой может быть цепочка поставок, когда безопасность одного стороннего компонента определяет безопасность сотен и тысяч независимых сайтов. Внедрённый код выполнялся в браузере каждого посетителя, не требуя каких-либо прав или установок, а последующие этапы атаки целиком полагались на действия пользователя, который сам запускал команды по инструкции. Подобные схемы сложно блокировать на стороне сервера, и основная защита ложится на плечи разработчиков плагинов и владельцев сайтов, которые должны тщательно отслеживать изменения в используемых библиотеках.
Индикаторы компрометации
URLs
- http://cdn-static.okendo.io/reviews-widget-plus/js/okendo-reviews.js
- https://api.wigetticks.com/logout/private-response.php?8D1V4th3
- https://api.wizzleticks.com/claims/scope-schema.php?4ManBBdA
