Ασφάλεια
JS#SMUGGLER: νέα web καμπάνια μολύνει Windows μόνο με μια επίσκεψη σε παραβιασμένη ιστοσελίδα
Η Securonix και άλλοι ερευνητές κυβερνοασφάλειας προειδοποιούν για μια νέα καμπάνια κακόβουλου λογισμικού με την ονομασία JS#SMUGGLER. Η επίθεση αξιοποιεί παραβιασμένες, απολύτως «κανονικές» ιστοσελίδες ως όχημα διανομής του NetSupport RAT, ενός πολύ διαδεδομένου εργαλείου απομακρυσμένης πρόσβασης που εδώ χρησιμοποιείται ως πλήρες Remote Access Trojan.
Το σημαντικό, και ενοχλητικά ειλικρινές, στοιχείο είναι ότι ο τελικός χρήστης δεν χρειάζεται να κάνει τίποτα «χαζό». Δεν ανοίγει ύποπτα συνημμένα, δεν τρέχει πειρατικά exe. Αρκεί να φορτώσει μια σελίδα που έχει ήδη μολυνθεί με τον JavaScript loader της καμπάνιας.
Πώς δουλεύει το JS#SMUGGLER, με απλά λόγια
Η αλυσίδα επίθεσης έχει τρία βασικά στάδια, όλα σχεδιασμένα να κρύβονται όσο γίνεται καλύτερα μέσα στον φυσιολογικό ιστό της σελίδας και των Windows.
Στάδιο 1 – ο JavaScript loader στον browser
Σε παραβιασμένα sites, οι επιτιθέμενοι έχουν ενσωματώσει έναν ιδιαίτερα βαριά obfuscated loader, γνωστό και ως «phone.js». Το script τρέχει αυτόματα όταν η σελίδα φορτώσει πλήρως, ελέγχει αν ο επισκέπτης είναι σε κινητό ή σε desktop και κρατά ένα «σημάδι» στο localStorage ώστε να εκτελεστεί μόνο την πρώτη φορά που θα επισκεφθείς τη σελίδα.
Αν ανιχνεύσει mobile συσκευή, δημιουργεί ένα αόρατο, fullscreen iframe που σε στέλνει σε κακόβουλη διεύθυνση, συνήθως για phishing ή άλλη μορφή επίθεσης. Αν δει desktop, κατεβάζει και εκτελεί αθόρυβα ένα δεύτερο JavaScript αρχείο από τον server του δράστη, προετοιμάζοντας το επόμενο βήμα.
Με άλλα λόγια, η μόλυνση ξεκινά ως κλασικό drive-by: φόρτωση σελίδας, καμία κίνηση από τον χρήστη, ο browser απλώς εκτελεί «νόμιμο» JavaScript.
Στάδιο 2 – HTA μέσω mshta.exe και fileless PowerShell
Το δεύτερο στάδιο κατεβαίνει από ειδικά φτιαγμένο URL και δεν είναι κλασικό HTML, αλλά HTA (HTML Application) που εκτελείται με το mshta.exe, ένα υπογεγραμμένο εκτελέσιμο των Windows που χρησιμοποιείται εδώ ως LOLBin (Signed Binary Proxy Execution) για να παρακάμψει πολιτικές ασφαλείας.
Το HTA τρέχει εντελώς κρυφά, χωρίς παράθυρο ή ένδειξη στην taskbar, και:
γράφει έναν προσωρινό PowerShell stager σε temp φάκελο αποκρυπτογραφεί το κύριο payload με πολλαπλά στρώματα κρυπτογράφησης και συμπίεσης, συμπεριλαμβανομένων AES-256 και GZIP εκτελεί τον τελικό PowerShell κώδικα απευθείας στη μνήμη, με παράκαμψη του ExecutionPolicy, ώστε να μην αφήνει κλασικά αρχεία στον δίσκο Μετά την εκτέλεση, καθαρίζει τα προσωρινά αρχεία και κλείνει, αφήνοντας πίσω του ελάχιστα ίχνη. Για ένα απλό antivirus που βασίζεται στο σκανάρισμα αρχείων, όλη αυτή η ιστορία είναι πρακτικά αόρατη.
Στάδιο 3 – εγκατάσταση και επιμονή του NetSupport RAT
Το τρίτο στάδιο είναι ο πλήρης PowerShell downloader. Κατεβάζει ένα ZIP αρχείο από υποδομή των δραστών, το αποσυμπιέζει σε φάκελο με «ήπιο» όνομα κάτω από το ProgramData και εκκινεί το NetSupport client μέσω ενός JScript wrapper, ώστε να μπερδεύεται το γράφημα διεργασιών (wscript, run.js κτλ.).
Η ανάλυση της Securonix δείχνει ότι τα αρχεία αποσυμπιέζονται σε φάκελο C:\ProgramData\CommunicationLayer\, ενώ για επιμονή δημιουργείται συντόμευση με το όνομα «WindowsUpdate.lnk» στον φάκελο Startup του χρήστη. Έτσι, το RAT σηκώνεται ξανά σε κάθε εκκίνηση, χωρίς να χρειαστεί καθόλου δικαιώματα διαχειριστή.
Το NetSupport Manager, ως νόμιμο εργαλείο απομακρυσμένης διαχείρισης, προσφέρει στους διαχειριστές όλα όσα χρειάζονται. Στα χέρια επιτιθέμενου μετατρέπεται σε NetSupport RAT: απομακρυσμένη επιφάνεια εργασίας, αντιγραφή και διαγραφή αρχείων, εκτέλεση εντολών, πιθανό keylogging, ακόμα και χρήση του συστήματός σου ως proxy για επιθέσεις σε άλλους.
Ποιους στοχεύει και τι σημαίνει για τον μέσο χρήστη
Σύμφωνα με την ανάλυση της Securonix, η καμπάνια δεν δείχνει να στοχεύει συγκεκριμένο κλάδο ή χώρα, αλλά γενικά εταιρικούς χρήστες που επισκέπτονται επιχειρηματικά sites, portals συνεργατών, online εργαλεία κτλ. Οι υποδομές και ο τρόπος λειτουργίας παραπέμπουν σε οικονομικά υποκινούμενους δράστες ή access brokers, όχι σε «χακτιβισμό».
Για τον απλό χρήστη Windows, το μήνυμα είναι λίγο κυνικό: το γεγονός ότι δεν ανοίγεις ύποπτα συνημμένα δεν σε σώζει πάντα. Αν ο ιστότοπος μιας εταιρείας ή ενός προμηθευτή που εμπιστεύεσαι παραβιαστεί, μπορείς να μολυνθείς μόνο και μόνο επειδή μπήκες να «ρίξεις μια ματιά».
Για Linux desktop, η συγκεκριμένη αλυσίδα – με mshta.exe, HTA, PowerShell και .lnk συντομεύσεις – είναι πρακτικά μη λειτουργική. Η JavaScript θα τρέξει στον browser, αλλά τα επόμενα στάδια δεν έχουν πού να πατήσουν. Αυτό όμως δεν είναι «μαγική ασπίδα»: οι ίδιοι χειριστές μπορούν ανά πάσα στιγμή να προσθέσουν διαφορετικό payload για άλλες πλατφόρμες. Προς το παρόν, η καμπάνια όπως έχει εντοπιστεί είναι ξεκάθαρα προσανατολισμένη σε Windows.
Τι μπορείς να κάνεις στην πράξη
Αν είσαι απλός χρήστης ή power user σε Windows:
Κράτα browser και plugins ενημερωμένα, μαζί με το λειτουργικό. Παλιά engines και παλιά extensions είναι ο εύκολος στόχος. Χρησιμοποίησε σοβαρό ad/script blocker (π.χ. uBlock Origin σε αυστηρή ρύθμιση) και σκέψου αν χρειάζεσαι οπωσδήποτε JavaScript ενεργό παντού. Ναι, θα χαλάσει κάποιες σελίδες. Ναι, αυτό είναι το point. Αν δεν χρησιμοποιείς HTA καθόλου, αξίζει να μπλοκάρεις το mshta.exe σε επίπεδο πολιτικής ή μέσω του security λογισμικού σου. Πολλές εταιρείες ήδη το κάνουν ακριβώς για τέτοιες καμπάνιες. Για έναν γρήγορο, εντελώς ακίνδυνο αυτοέλεγχο σε Windows, μπορείς να τρέξεις από γραμμή εντολών:
έλεγχο αν υπάρχει ο φάκελος C:\ProgramData\CommunicationLayer\ έλεγχο αν στον φάκελο Startup σου υπάρχει κάποια ύποπτη συντόμευση «WindowsUpdate.lnk» Αν τα βρεις, δεν σημαίνει αυτόματα ότι έχεις μολυνθεί από αυτή ακριβώς την καμπάνια, αλλά είναι σοβαρό red flag και η σωστή κίνηση είναι αποσύνδεση του υπολογιστή από το δίκτυο και έλεγχος από ειδικό ή από το security team της εταιρείας σου.
Αν είσαι διαχειριστής ή υπεύθυνος ασφάλειας, το JS#SMUGGLER ουσιαστικά σου επιβεβαιώνει την τάση που ήδη βλέπεις:
web-based multi-stage επιθέσεις, με πολύ obfuscated JavaScript, device-aware branching (διαφορετική συμπεριφορά σε mobile και desktop) και ένα σωρό fileless τεχνικές εκτεταμένη χρήση Windows LOLBins, όπως mshta.exe, wscript.exe και PowerShell, ώστε η αλυσίδα να φαίνεται όσο γίνεται πιο «νόμιμη» στα logs τελικό payload όχι custom RAT, αλλά εμπορικό remote admin εργαλείο, που ήδη επιτρέπεται σε πολλούς οργανισμούς Οι συστάσεις της Securonix είναι μάλλον το νέο baseline: ισχυρό Content Security Policy, ενισχυμένη καταγραφή PowerShell, περιορισμός mshta.exe, συμπεριφορική ανίχνευση αλυσίδων όπως mshta.exe → powershell.exe → wscript.exe και ενεργή επιτήρηση του Startup folder και φακέλων όπως ProgramData για ύποπτα executables και συντομεύσεις.
Τι να περιμένουμε στη συνέχεια
Το JS#SMUGGLER φαίνεται λιγότερο σαν «ένα ακόμη script» και περισσότερο σαν πλατφόρμα. Η δομή του, τα επίπεδα αποφυγής ανίχνευσης και η χρήση επαναχρησιμοποιημένων κομματιών (NetSupport, γνωστά LOLBins) δείχνουν framework που μπορεί σχετικά εύκολα να παραμετροποιηθεί.
Για τους απλούς χρήστες αυτό μεταφράζεται σε κάτι απλό αλλά όχι ευχάριστο: το web ως επιφάνεια επίθεσης θα συνεχίσει να γίνεται πιο «ύπουλο», όχι λιγότερο. Οι drive-by επιθέσεις θα θυμίζουν όλο και λιγότερο τα παλιά exploit kits με Flash και όλο και περισσότερο τέτοια πολυσταδιακά σενάρια που πατάνε πάνω σε νόμιμα components και εμπορικά εργαλεία.
Με ρεαλιστικούς όρους, αν χρησιμοποιείς Windows σε δουλειά ή σπίτι, το μόνο «εύκολο» μέτρο είναι να σκληρύνεις όσο αντέχεις τον browser και να αφήσεις σε ένα σοβαρό security stack το δύσκολο κομμάτι της ανίχνευσης. Και φυσικά, αν δεις περίεργη συμπεριφορά, αργό desktop ή «φαντάσματα» στο ποντίκι και το πληκτρολόγιο, μην το αποδίδεις πάντα σε Windows…
Πηγές
JS#SMUGGLER: Multi-Stage – Hidden Iframes, Obfuscated JavaScript, Silent Redirectors & NetSupport RAT Delivery — Securonix Threat Labs Experts Confirm JS#SMUGGLER Uses Compromised Sites to Deploy NetSupport RAT — The Hacker News JS#SMUGGLER: Παραβιασμένες ιστοσελίδες για ανάπτυξη του NetSupport RAT — SecNews New Multi-stage JS#SMUGGLER Malware Attack Delivers ‘NetSupport RAT’ to Gain Full System Control — Cybersecurity News
138
