Noticias do mundo da tecnologia

Blog

NetSupport legitimamente vira ferramenta de controle total do invasor

swatec December 8, 2025

hackers miram itália e espanha no covid-19

JS#SMUGGLER instala o NetSupport RAT em PCs Windows por meio de sites comprometidos, usando JavaScript ofuscado, HTA oculto e PowerShell fileless para obter acesso remoto persistente.

A campanha e a vulnerabilidade explorada

Um Securonix acordo uma campanha web em três estágios, batizada de JS#SMUGGLER, que injeta um carregador JavaScript em sites comprometidos e direcionando o ataque apenas para usuários em desktop, causando ruído e chances de detecção. O objetivo final é distribuir o NetSupport RAT, uma ferramenta legítima de administração remota transformada em trojan, capaz de dar controle total do desktop ao caçador.

Como a infecção é realizada

No primeiro estágio, um JavaScript altamente ofuscado é carregado de domínios como boriver.comverifica o tipo de dispositivo e, se for desktop, busca o próximo estágio em domínios como stoneandjon.comgarantindo que o código malicioso rodou apenas uma vez por vítima. A segunda etapa é um Aplicativo HTML (HTA) executado de forma invisível via mshta.exeque descompacta e descompacta, apenas em memória, um payload PowerShell protegido por camadas de AES‑256‑ECB, Base64 e GZIP, evitando escrita de arquivos no disco.

No terceiro estágio, o PowerShell baixa um pacote compactado de domínios como kindstki.cominstale o NetSupport em um diretório “discreto”, por exemplo C:ProgramDataCommunicationLayere cria um atalho falso de inicialização, como WindowsUpdate.lnkpara garantir persistência a cada logon. Uma vez ativo, o NetSupport RAT permite ao operador controlar o desktop, extrair arquivos, executar comandos e monitorar a atividade do usuário de forma contínua.

Medidas recomendadas

Bloquear/dominar domínios e IoCs associados (por exemplo, boriver.com, stoneandjon.com, kindstki.com) em proxies, DNS e firewalls.

Monitorar execuções suspeitas de mshta.exe e PowerShell ofuscado/fileless, especialmente quando iniciado a partir de navegadores ou processos não administrativos.

Revisar atalhos na pasta de inicialização, diretórios como ProgramDatae verifique a presença de instalações não autorizadas do NetSupport Manager.

Veja a noticia Completa aqui

Leave a Reply Cancel reply