Campaña JS#SMUGGLER: Uso de webs comprometidas para distribuir NetSupport RAT

Introducción

En las últimas semanas, investigadores de ciberseguridad han identificado una campaña maliciosa denominada JS#SMUGGLER, caracterizada por la utilización de sitios web comprometidos para propagar el conocido troyano de acceso remoto NetSupport RAT. Analistas de Securonix han desgranado la cadena de ataque, que combina técnicas avanzadas de evasión y una estructura modular basada en JavaScript ofuscado y aplicaciones HTML (HTA), con el objetivo de maximizar la persistencia y dificultar la detección. Este artículo analiza en profundidad el incidente, dirigido a profesionales de la seguridad que buscan comprender los riesgos y vectores implicados.

Contexto del Incidente

La campaña JS#SMUGGLER se inscribe en una tendencia creciente: el abuso de recursos legítimos y de confianza, como webs corporativas comprometidas, para distribuir malware sin levantar sospechas inmediatas. NetSupport RAT, inicialmente desarrollado como herramienta legítima de administración remota, ha sido ampliamente adoptado por actores maliciosos debido a sus potentes capacidades de control, exfiltración y persistencia. Según Securonix, la campaña comenzó a detectarse a finales de mayo de 2024 y ya ha comprometido, al menos, una docena de portales empresariales, con un enfoque especial en organizaciones europeas y norteamericanas.

Detalles Técnicos: Vectores, TTPs e IoCs

El ataque se inicia con la inyección de un script JavaScript altamente ofuscado en páginas web vulnerables. Este loader, oculto mediante técnicas de cifrado y fragmentación de código, se encarga de identificar visitantes susceptibles (principalmente usuarios de Windows) y redirigirlos a la descarga de un archivo .hta (HTML Application), ejecutable mediante el motor mshta.exe, legítimo en sistemas Windows.

El fichero HTA contiene un segundo payload cifrado, habitualmente embebido en base64, que al ser ejecutado descifra y lanza el dropper de NetSupport RAT. Durante el proceso, se emplean técnicas de Living-off-the-Land (LoL), aprovechando procesos nativos del sistema para dificultar la detección por soluciones EDR y antivirus tradicionales.

– CVE relacionado: Aunque la campaña no explota una vulnerabilidad específica, sí capitaliza vulnerabilidades comunes en gestores de contenido (como WordPress y Joomla) y en librerías JavaScript desactualizadas.
– TTP MITRE ATT&CK:
– Initial Access (TA0001) – Drive-by Compromise (T1189)
– Execution (TA0002) – User Execution: Malicious File (T1204.002)
– Defense Evasion (TA0005) – Obfuscated Files or Information (T1027), Masquerading (T1036)
– Command and Control (TA0011) – Remote Access Tools (T1219)
– IoCs: Hashes de los scripts HTA, URLs de descarga, e identificadores de instancias NetSupport RAT (consultar feed de Securonix y VirusTotal para firmas actualizadas).

Impacto y Riesgos

El despliegue de NetSupport RAT ofrece a los atacantes control total sobre los dispositivos comprometidos, incluyendo la capacidad de monitorizar sesiones, robar credenciales, exfiltrar datos sensibles y desplegar cargas adicionales (como ransomware o info-stealers). Según estimaciones de Securonix, la campaña ha afectado ya a cientos de endpoints en sectores financiero, sanitario y educativo. El impacto económico potencial supera los 2 millones de euros, considerando tanto costes directos como reputacionales y sanciones regulatorias (GDPR y NIS2).

Medidas de Mitigación y Recomendaciones

Para minimizar la exposición a JS#SMUGGLER y NetSupport RAT, los expertos recomiendan:

– Actualizar gestores de contenido, plugins y librerías JS a versiones corregidas.
– Monitorizar logs web en busca de inyecciones de código o modificaciones no autorizadas.
– Bloquear la ejecución de archivos .hta y restringir mshta.exe mediante políticas AppLocker o WDAC.
– Implementar reglas YARA/Sigma para detección de patrones asociados a NetSupport RAT y scripts HTA sospechosos.
– Revisar conexiones salientes que apunten a infraestructuras conocidas por alojar NetSupport RAT.
– Realizar análisis forense de endpoints con herramientas como Velociraptor o KAPE, centrando la investigación en procesos hijos de mshta.exe.

Opinión de Expertos

Juan Manuel Carrillo, CISO de una multinacional tecnológica, subraya: “La sofisticación de campañas como JS#SMUGGLER demuestra que los atacantes ya no necesitan vulnerabilidades 0-day; basta con explotar malas prácticas en la administración de webs y la falta de control de ejecución de aplicaciones”. Por su parte, Roberto Suárez, analista SOC, advierte: “El uso de Living-off-the-Land y cargas HTA cifradas complica la respuesta rápida; es imprescindible reforzar la visibilidad en endpoints y controlar los procesos heredados”.

Implicaciones para Empresas y Usuarios

El uso de webs legítimas como vector de ataque tiene dos consecuencias inmediatas: la pérdida de confianza de usuarios y clientes, y la dificultad de atribución y contención. Las organizaciones afectadas pueden enfrentarse a brechas de datos notificables bajo GDPR, así como a sanciones administrativas en el marco de la NIS2. Además, la rápida capacidad de propagación de NetSupport RAT puede facilitar movimientos laterales y ataques a mayor escala (por ejemplo, ransomware-as-a-service).

Conclusiones

La campaña JS#SMUGGLER ejemplifica la convergencia entre técnicas de evasión avanzadas y abuso de la confianza digital. La defensa pasa por una gestión proactiva de la superficie de exposición, el refuerzo de controles de ejecución y la actualización continua de las capacidades de detección y respuesta. Es fundamental que los equipos de seguridad permanezcan alerta ante este tipo de cadenas de ataque, reforzando la educación interna y la monitorización de activos críticos.

(Fuente: feeds.feedburner.com)