JS#SMUGGLER: Il nuovo attacco invisibile che trasforma i siti web in trappole digitali

News
Visite: 141

Nel mondo della cybersecurity, una nuova minaccia sta attirando l’attenzione degli esperti: la campagna JS#SMUGGLER, un attacco multi-stadio che sfrutta siti web compromessi per distribuire il malware NetSupport RAT. Gli attacchi iniziano con l’iniezione di un loader JavaScript altamente offuscato all’interno di siti legittimi, trasformandoli in vettori di infezione. Il JavaScript, denominato “phone.js”, viene caricato da un dominio esterno e utilizza un sistema di profilazione dei dispositivi per decidere il percorso dell’infezione: se la vittima accede da mobile, viene servito un iframe a schermo intero; se da desktop viene attivato un secondo script remoto.

Questa sofisticata catena di attacco prevede poi il download di una HTML Application (HTA), eseguita tramite mshta.exe, che a sua volta scarica e lancia uno stager PowerShell cifrato. Il payload PowerShell viene scritto su disco, decifrato ed eseguito direttamente in memoria per evitare i sistemi di rilevamento tradizionali. Dopo aver eseguito la sua funzione, il payload elimina ogni traccia dello stager, riducendo al minimo gli indizi per l’analisi forense.

Il risultato finale di questa catena è l’installazione di NetSupport RAT, un potente trojan di accesso remoto che consente agli attaccanti il pieno controllo sul sistema compromesso: accesso remoto al desktop, esecuzione di comandi, gestione file, furto di dati e funzionalità di proxy. JS#SMUGGLER mostra una notevole consapevolezza del contesto, attivando il codice malevolo solo al primo accesso per ridurre il rischio di rilevamento. La logica device-aware consente inoltre di nascondere le sue attività agli ambienti di analisi e di massimizzare il tasso di infezione servendo payload mirati al sistema operativo della vittima.

Il dominio principale utilizzato per il caricamento del JavaScript malevolo, boriver[.]com, è stato collegato a precedenti campagne del gruppo SmartApeSG, noto per aver sfruttato siti web compromessi per diffondere NetSupport RAT tramite script JavaScript. Tuttavia, non è ancora chiaro se la campagna attuale sia opera dello stesso attore.

Strategie difensive consigliate
  • Enforcement rigoroso delle Content Security Policy (CSP)
  • Monitoraggio dei script
  • Logging avanzato di PowerShell
  • Restrizioni su mshta.exe
  • Analisi comportamentale per intercettare attacchi così evoluti

L’evoluzione della minaccia JS#SMUGGLER conferma la tendenza dei cybercriminali a combinare tecniche di evasione, offuscamento e vettori web per colpire aziende e utenti.

Pin It
, , ,

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta