Исследователи кибербезопасности из компании Securonix обнаружили и проанализировали изощренную многоэтапную кампанию, которая использует взломанные веб-сайты для скрытой доставки вредоносного программного обеспечения. Конечной целью атаки является установка на компьютер жертвы программы удаленного доступа NetSupport RAT, превращенной злоумышленниками в инструмент для шпионажа и контроля. Атака выделяется многослойными методами маскировки, включая обфускацию (запутывание) кода, бесфайловое выполнение и сложную логику условных переходов.
Описание
Кампания, получившая условное обозначение JS#SMUGGLER, разворачивается в три четких этапа. Первый этап начинается с сильно запутанного JavaScript-загрузчика, внедренного во взломанный сайт. Этот скрипт использует сложные методы обфускации, такие как числовое индексирование и ротация массивов, чтобы скрыть свою истинную логику от статического анализа. Он также определяет тип устройства жертвы (мобильное или настольное) и, используя механизм localStorage, гарантирует свое выполнение только при первом посещении сайта, что повышает скрытность.
После проверки условий загрузчик либо внедряет на страницу полноэкранный невидимый iframe (для мобильных устройств), либо динамически загружает скрипт второго этапа (для настольных компьютеров). Этот скрипт представляет собой вредоносное HTML-приложение (HTA), предназначенное для выполнения через легитимный системный инструмент mshta.exe. Запуск через доверенный бинарный файл является распространенной техникой уклонения от систем защиты, известной как LOLBAS.
На втором этапе HTA выполняет ключевую роль, действуя скрытно от пользователя. Оно записывает на диск зашифрованный PowerShell-стейджер, а затем в памяти производит его многослойную расшифровку. Процесс включает в себя декодирование с использованием AES-256-ECB, извлечение данных в формате Base64 и последующую распаковку GZIP. Полученный в итоге чистый PowerShell-скрипт выполняется непосредственно в памяти, что позволяет избежать записи финальной полезной нагрузки на диск - классический признак бесфайловой атаки.
Третий, финальный этап, реализуется этим расшифрованным PowerShell-скриптом. Он загружает с контролируемого злоумышленниками домена ZIP-архив, содержащий компоненты NetSupport RAT. Архив извлекается в безобидно выглядящую папку в каталоге ProgramData. Для запуска вредоносного клиента используется дополнительный слой маскировки: выполнение происходит не напрямую, а через скрипт JScript (run.js), запускаемый с помощью wscript.exe. Это затрудняет для систем EDR отслеживание цепочки процессов.
Чтобы обеспечить долговременное присутствие в системе, атакующие создают ярлык с обманчивым именем WindowsUpdate.lnk в папке автозагрузки пользователя. Этот ярлык указывает на скрытый JScript-загрузчик, гарантируя автоматический запуск NetSupport RAT при каждой загрузке Windows. Для работы всей цепочки не требуются права администратора, что делает атаку опасной даже для стандартных учетных записей пользователей.
NetSupport Manager изначально является легитимным инструментом для удаленного администрирования. Однако в руках злоумышленников он превращается в мощный RAT (Remote Access Trojan), предоставляющий полный контроль над системой. Функционал включает удаленный рабочий стол, управление файлами, выполнение команд и возможность использовать зараженный компьютер в качестве прокси для перемещения по сети. Его использование в качестве финальной нагрузки четко указывает на цель атакующих: получить устойчивый неавторизованный доступ к компьютерам жертв.
Исследователи отмечают, что сочетание продвинутых техник - многослойная обфускация JavaScript, условная логика выполнения, бесфайловый запуск через HTA и PowerShell, а также сложные методы обеспечения устойчивости - указывает на высокий уровень профессионализма авторов этой вредоносной платформы. Кампания, по-видимому, не нацелена на конкретную отрасль, а использует массовые методы, такие как компрометация сайтов и тихие редиректы.
Для защиты от подобных угроз специалисты по безопасности рекомендуют усилить мониторинг выполнения скриптов (JavaScript, HTA, PowerShell), особенно из временных каталогов или интернет-источников. Критически важно включить расширенное логирование PowerShell и аудит командной строки, которое может помочь выявить зашифрованные или запутанные команды. Также эффективными мерами являются ограничение использования mshta.exe для запуска ненадежного контента и развертывание систем EDR, способных анализировать поведение и обнаруживать аномальные цепочки процессов, например, от браузера к mshta.exe и затем к PowerShell.
Индикаторы компрометации
IPv4
- 104.21.8.48
- 85.158.111.113
- 85.158.111.123
- 85.158.111.126
- 85.158.111.35
- 89.46.38.126
- 89.46.38.48
- 98.142.251.26
- 98.142.251.75
Domains
- boriver.com
- byspotikfy.com
- centaurustermas.com
- cpajoliette.com
- emoteragoddess.com
- frostshiledr.com
- kindstki.com
- srimedhasoft.com
- stoneandjon.com
SHA256
- 06a0a243811e9c4738a9d413597659ca8d07b00f640b74adc9cb351c179b3268
- 15a3cd9fc6f3e89fc4901be19b15069ccef0dcdd8071b4900448bf2ab374c002
- 246d7d74deaa27eaad25c97fa302d128a1c8d58058ce4cc95fd6055acbc9b959
- 24a8660ebdf54094d8e787486f19b2823f3bc4382f5ace764429a6b7e48025ea
- 4f0494cf85322d540e9cb87295af1247377bcb65b09254900b7ca29f6f46508f
- 55ad68ee73fa288698cd3b885196d0d02cdfd417563d247f617bca288243bf44
- 99744720b128c6ac678a1d6e0fad0e69f159c1606428e91e7d2b7695cc353a80
- 9ce88cc6fd2e3d298b97592d431c301d994f9c4ed7a7886c225e167bce29c046
- a89b471528737b91046fc42527bf84008b067908ccc1bf4318135476c290de61
- fced9291b4339c4fe3a1abfe5878d210a500afa7e1fa4a3be8613a6791c02b8e
- fe8400a81be3de95807396ffa1539e6818c8c586bd8a17d833a573aa5d7b433b
