Експерти з кібербезпеки зафіксували нову масштабну кампанію під назвою JS#SMUGGLER, у межах якої зловмисники використовують зламані вебсайти для поширення трояна віддаленого доступу NetSupport RAT, надаючи атакувальникам повний контроль над системами корпоративних користувачів.
Згідно з аналізом компанії Securonix, атака реалізується через складний багатоступеневий ланцюг. Спочатку на скомпрометовані сайти впроваджується сильно обфускований JavaScript-завантажувач, який далі перенаправляє користувачів через приховані iframe. Поведінка шкідливого коду змінюється залежно від типу пристрою — мобільного або настільного.
Для користувачів ПК завантажується HTML-додаток (HTA), який запускається через mshta.exe та розгортає зашифровані PowerShell-стейджери. Ці стейджери виконуються безпосередньо в пам’яті, уникаючи класичних механізмів виявлення. Кінцевою метою є завантаження NetSupport RAT — інструмента, що дозволяє віддалений доступ до робочого столу, керування файлами, виконання команд, крадіжку даних і проксі-функції.
Дослідники не виявили прямих доказів причетності конкретної хакерської групи або держави, але характер кампанії вказує на професійно підтримувану інфраструктуру. Атаки спрямовані на корпоративний сегмент і використовують адаптивну логіку, що мінімізує ймовірність виявлення. Кампанія JS#SMUGGLER з’явилася на тлі іншої активності Securonix, зокрема CHAMELEON#NET — фішингової операції з доставкою Formbook RAT.
JS#SMUGGLER демонструє, що зламані вебсайти залишаються одним із найефективніших векторів атак. Поєднання JavaScript-обфускації, HTA-файлів і fileless-технік PowerShell створює серйозний виклик для традиційних засобів захисту та вимагає посиленого моніторингу поведінки браузерів і сценаріїв.
