Gli esperti confermano che JS#SMUGGLER utilizza siti compromessi per distribuire NetSupport RAT

Campagna di Attacchi Informatici: JS#SMUGGLER e CHAMELEON#NET
Ricercatori di sicurezza informatica hanno scoperto una nuova campagna di attacchi informatici denominata JS#SMUGGLER, che utilizza siti web compromessi come vettore di distribuzione per un trojan di accesso remoto chiamato NetSupport RAT. La catena di attacchi, analizzata da Securonix, coinvolge tre parti principali: un loader JavaScript oscurato iniettato in un sito web, un’applicazione HTML (HTA) che esegue stadi PowerShell crittografati utilizzando mshta.exe e un payload PowerShell progettato per scaricare ed eseguire il malware principale.

La campagna JS#SMUGGLER consente agli aggressori di prendere il controllo completo dell’host vittima, inclusi l’accesso remoto al desktop, le operazioni sui file, l’esecuzione di comandi, il furto di dati e le capacità di proxy. I ricercatori non hanno trovato prove concrete per collegare la campagna a un gruppo di minaccia noto o a un paese specifico. L’attività è stata rilevata principalmente tra gli utenti aziendali attraverso siti web compromessi, indicando uno sforzo a largo raggio.

Inoltre, la società di sicurezza informatica ha descritto un’altra campagna di attacchi, denominata CHAMELEON#NET, che utilizza email di phishing per consegnare il malware Formbook, un keylogger e un furto di informazioni. La campagna inizia con un’email di phishing che induce le vittime a scaricare un archivio apparentemente innocuo, iniziando una catena di infezione multi-stadio. I ricercatori sottolineano l’importanza di implementare misure di sicurezza robuste, come l’applicazione di politiche di sicurezza del contenuto (CSP), il monitoraggio degli script, la registrazione di PowerShell, le restrizioni su mshta.exe e l’analisi del comportamento per rilevare tali attacchi in modo efficace.