{"id":13919,"date":"2025-12-10T10:41:08","date_gmt":"2025-12-10T13:41:08","guid":{"rendered":"https:\/\/fenati.org.br\/?p=13919"},"modified":"2025-12-10T10:41:47","modified_gmt":"2025-12-10T13:41:47","slug":"novo-ataque-javascript-para-atacar-sites-confiaveis","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/novo-ataque-javascript-para-atacar-sites-confiaveis\/","title":{"rendered":"Novo ataque usa JavaScript para atacar sites confi\u00e1veis e infetar PCs"},"content":{"rendered":"<p><strong>JavaScript &#8211;<\/strong> Pesquisadores de ciberseguran\u00e7a identificaram uma nova campanha de malware em m\u00faltiplos est\u00e1gios, disseminada pela web, e batizada de JS#SMUGGLER. O esquema utiliza p\u00e1ginas leg\u00edtimas comprometidas para distribuir o NetSupport RAT, um <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Cavalo_de_troia_(computa%C3%A7%C3%A3o)\" rel=\"nofollow noopener\" target=\"_blank\">trojan<\/a> de acesso remoto. O n\u00edvel de furtividade e de engenharia empregado pelos criminosos indica um salto relevante na evolu\u00e7\u00e3o de suas t\u00e1ticas.<\/p>\n<p>De acordo com a an\u00e1lise realizada pela Securonix, a cadeia de ataque opera como uma armadilha dividida em tr\u00eas fases: inicialmente, os invasores inserem um JavaScript altamente ofuscado em sites previamente invadidos.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/en\/governo-lanca-app-aulas-teoricas-gratuitas-cnh\/\"><strong>LEIA: Governo lan\u00e7a aplicativo com aulas te\u00f3ricas gratuitas para tirar a CNH; saiba<\/strong><\/a><\/p>\n<p>Ao acessar essas p\u00e1ginas, o visitante tem o download autom\u00e1tico de um arquivo mascarado, que aproveita utilit\u00e1rios nativos do Windows \u2014 como o \u201cmshta.exe\u201d \u2014 para executar comandos ocultos. Na etapa final, esses comandos desencadeiam a instala\u00e7\u00e3o do malware principal no dispositivo da v\u00edtima.<\/p>\n<p>Os redirecionamentos silenciosos presentes nos sites corrompidos funcionam como ponte para o carregador JavaScript (\u201cphone.js\u201d), hospedado em um dom\u00ednio externo. Esse loader verifica o tipo de dispositivo para decidir se deve apresentar um iframe em tela cheia (em smartphones) ou executar um script remoto (em desktops).<\/p>\n<p>Enquanto o iframe leva o usu\u00e1rio ao link malicioso, um sistema de rastreamento controla para que cada visitante seja infectado apenas uma vez, reduzindo a chance de detec\u00e7\u00e3o pelos sistemas de seguran\u00e7a.<\/p>\n<h4>T\u00e9cnicas de evas\u00e3o<\/h4>\n<p>O ataque ocorre sem que o usu\u00e1rio note qualquer anormalidade. O JavaScript inicial monta dinamicamente um endere\u00e7o online e busca a pr\u00f3xima etapa do ataque, que age como intermedi\u00e1ria para carregar um terceiro c\u00f3digo.<\/p>\n<p>Esse \u00faltimo componente \u00e9 gravado no disco, descriptografado e executado diretamente na mem\u00f3ria \u2014 m\u00e9todo associado ao chamado fileless malware, mais dif\u00edcil de identificar por antiv\u00edrus tradicionais.<\/p>\n<p>Al\u00e9m disso, o malware desativa janelas, se minimiza sozinho e executa suas a\u00e7\u00f5es em sil\u00eancio absoluto. Ao concluir suas tarefas, apaga os pr\u00f3prios arquivos do disco, removendo ind\u00edcios que poderiam ser usados em an\u00e1lises forenses.<\/p>\n<p>O uso de utilit\u00e1rios leg\u00edtimos do Windows \u2014 t\u00e9cnica conhecida como living off the land \u2014 torna a campanha ainda mais dif\u00edcil de detectar, j\u00e1 que ferramentas nativas s\u00e3o geralmente confi\u00e1veis para os sistemas de defesa.<\/p>\n<h4>O risco do NetSupport RAT<\/h4>\n<p>O objetivo final dos operadores \u00e9 implantar o NetSupport RAT \u2014 originalmente um software leg\u00edtimo de acesso remoto, mas comumente utilizado de forma maliciosa.<\/p>\n<p>Uma vez instalado, ele concede controle total da m\u00e1quina aos atacantes, permitindo que acessem dados sens\u00edveis, capturem senhas digitadas, monitorem tela, webcam e microfone, al\u00e9m de executarem praticamente qualquer opera\u00e7\u00e3o no computador sem que o dono perceba.<\/p>\n<p>Esse n\u00edvel de acesso pode resultar em roubo de informa\u00e7\u00f5es corporativas, espionagem industrial, furto de credenciais banc\u00e1rias e servir de ponto de entrada para ataques mais amplos contra a infraestrutura da organiza\u00e7\u00e3o.<\/p>\n<p>At\u00e9 o momento, n\u00e3o h\u00e1 atribui\u00e7\u00e3o da JS#SMUGGLER a grupos espec\u00edficos nem a pa\u00edses. Segundo especialistas da Securonix, a campanha mira usu\u00e1rios corporativos de modo amplo, sugerindo uma opera\u00e7\u00e3o de grande escala com interesses financeiros ou de espionagem.<\/p>\n<p>A aus\u00eancia de sinais que permitam vincular o ataque a um ator conhecido refor\u00e7a a hip\u00f3tese de que os operadores est\u00e3o tomando medidas extras para esconder sua identidade e infraestrutura, dificultando a\u00e7\u00f5es de monitoramento e resposta.<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de Tec Mundo)<\/strong><\/em><br \/>\n<em><strong>(Foto: Reprodu\u00e7\u00e3o\/Freepik)<\/strong><\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Malware utiliza t\u00e9cnicas invis\u00edveis e ferramentas nativas do Windows para assumir o controle dos computadores<\/p>","protected":false},"author":11,"featured_media":13920,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[42],"tags":[13],"class_list":["post-13919","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/13919","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=13919"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/13919\/revisions"}],"predecessor-version":[{"id":13921,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/13919\/revisions\/13921"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/13920"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=13919"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=13919"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=13919"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}