Novo ataque usa JavaScript para atacar sites confiáveis e infetar PCs

JavaScript – Pesquisadores de cibersegurança identificaram uma nova campanha de malware em múltiplos estágios, disseminada pela web, e batizada de JS#SMUGGLER. O esquema utiliza páginas legítimas comprometidas para distribuir o NetSupport RAT, um trojan de acesso remoto. O nível de furtividade e de engenharia empregado pelos criminosos indica um salto relevante na evolução de suas táticas.

De acordo com a análise realizada pela Securonix, a cadeia de ataque opera como uma armadilha dividida em três fases: inicialmente, os invasores inserem um JavaScript altamente ofuscado em sites previamente invadidos.

LEIA: Governo lança aplicativo com aulas teóricas gratuitas para tirar a CNH; saiba

Ao acessar essas páginas, o visitante tem o download automático de um arquivo mascarado, que aproveita utilitários nativos do Windows — como o “mshta.exe” — para executar comandos ocultos. Na etapa final, esses comandos desencadeiam a instalação do malware principal no dispositivo da vítima.

Os redirecionamentos silenciosos presentes nos sites corrompidos funcionam como ponte para o carregador JavaScript (“phone.js”), hospedado em um domínio externo. Esse loader verifica o tipo de dispositivo para decidir se deve apresentar um iframe em tela cheia (em smartphones) ou executar um script remoto (em desktops).

Enquanto o iframe leva o usuário ao link malicioso, um sistema de rastreamento controla para que cada visitante seja infectado apenas uma vez, reduzindo a chance de detecção pelos sistemas de segurança.

Técnicas de evasão

O ataque ocorre sem que o usuário note qualquer anormalidade. O JavaScript inicial monta dinamicamente um endereço online e busca a próxima etapa do ataque, que age como intermediária para carregar um terceiro código.

Esse último componente é gravado no disco, descriptografado e executado diretamente na memória — método associado ao chamado fileless malware, mais difícil de identificar por antivírus tradicionais.

Além disso, o malware desativa janelas, se minimiza sozinho e executa suas ações em silêncio absoluto. Ao concluir suas tarefas, apaga os próprios arquivos do disco, removendo indícios que poderiam ser usados em análises forenses.

O uso de utilitários legítimos do Windows — técnica conhecida como living off the land — torna a campanha ainda mais difícil de detectar, já que ferramentas nativas são geralmente confiáveis para os sistemas de defesa.

O risco do NetSupport RAT

O objetivo final dos operadores é implantar o NetSupport RAT — originalmente um software legítimo de acesso remoto, mas comumente utilizado de forma maliciosa.

Uma vez instalado, ele concede controle total da máquina aos atacantes, permitindo que acessem dados sensíveis, capturem senhas digitadas, monitorem tela, webcam e microfone, além de executarem praticamente qualquer operação no computador sem que o dono perceba.

Esse nível de acesso pode resultar em roubo de informações corporativas, espionagem industrial, furto de credenciais bancárias e servir de ponto de entrada para ataques mais amplos contra a infraestrutura da organização.

Até o momento, não há atribuição da JS#SMUGGLER a grupos específicos nem a países. Segundo especialistas da Securonix, a campanha mira usuários corporativos de modo amplo, sugerindo uma operação de grande escala com interesses financeiros ou de espionagem.

A ausência de sinais que permitam vincular o ataque a um ator conhecido reforça a hipótese de que os operadores estão tomando medidas extras para esconder sua identidade e infraestrutura, dificultando ações de monitoramento e resposta.

(Com informações de Tec Mundo)
(Foto: Reprodução/Freepik)