Alerta de Ciberseguridad 🚨: JS#SMUGGLER Despliega el Poderoso NetSupport RAT Mediante un Ataque 'Sin Archivos' en Tres Etapas


Securonix revela JS#SMUGGLER, una campaña de malware de 3 pasos que instala el peligroso NetSupport RAT. El ataque utiliza ofuscación y ejecución file

Compartir:

La plataforma de análisis de seguridad y gestión de operaciones Securonix ha publicado recientemente detalles sobre una nueva y altamente engañosa campaña de malware denominada JS#SMUGGLER. Este ataque emplea una cadena de infección multifacética diseñada para evadir los sistemas de detección tradicionales y culmina con la instalación de la potente herramienta NetSupport RAT (Troyano de Acceso Remoto), otorgando a los atacantes un control completo y secreto sobre los ordenadores de las víctimas.

El análisis, llevado a cabo por el equipo de investigación de amenazas de Securonix, incluyendo a los analistas Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee, confirma que se trata de una operación de malware activa y altamente profesional.

I. Etapa 1: El Engaño en JavaScript Ofuscado 💻

El proceso de infección se inicia de la forma más sencilla: cuando un usuario visita un sitio web comprometido.

  • Vector Inicial: El primer paso utiliza un cargador de JavaScript ofuscado. La ofuscación es una técnica donde los hackers alteran su código de forma deliberada, ocultando instrucciones maliciosas (a menudo entre miles de caracteres aleatorios o en bloques de comentarios) para burlar los controles de seguridad basados en firmas.

  • Comprobación Inteligente: Este script inicial está programado para verificar si el usuario está utilizando una computadora o un dispositivo móvil. Solo si detecta una computadora, procede a la infección completa, lo que limita la huella del ataque. Los investigadores observaron que el script también se ejecuta solo una vez por usuario para mantener la operación en secreto.

II. Etapa 2: La Ejecución Invisible y Sin Archivos (Fileless) 👻

El segundo paso es el más crítico para evadir los antivirus, ya que evita escribir el código malicioso en el disco duro.

  • Aplicación Secreta HTA: Esta etapa implica una aplicación HTML secreta (HTA). La HTA se ejecuta de forma totalmente invisible utilizando un programa estándar de Windows: mshta.exe.

  • Triple Cifrado: Dentro de esta HTA se encuentra la siguiente parte del código, que está fuertemente protegida mediante múltiples capas de cifrado: AES-256-ECB, Base64 y compresión GZIP.

  • Ejecución en Memoria: Esta compleja configuración asegura que el programa solo aparezca completamente decodificado en la memoria volátil del ordenador. Al no escribirse el archivo principal de la infección en el disco, los programas antivirus tienen una dificultad significativa para encontrarlo y bloquearlo, clasificando el ataque como fileless (sin archivos).

La compatibilidad del software es clave para la seguridad, ya que la ejecución de procesos invisibles como este HTA se aprovecha de la forma en que los sistemas operativos manejan los programas nativos.

Te Puede Interesar

Las amenazas de malware evolucionan constantemente, recurriendo cada vez más a la sofisticación algorítmica y la ingeniería social para infiltrarse en los sistemas de los usuarios.

Tsundere 💔: La Sofisticada Red de Bots que Amenaza la Integridad de la Comunidad Gamer con IA y Tácticas Psicológicas

III. Etapa 3: NetSupport RAT y Persistencia Total 👑

El tercer paso consiste en instalar el programa final: el NetSupport RAT.

  • Adquisición Final: NetSupport Manager es una herramienta legítima para profesionales de TI, pero en manos de hackers, se convierte en un troyano de acceso remoto que permite el control total.

  • Poder del RAT: Una vez en ejecución, el RAT permite al hacker tomar el control total del escritorio remoto, explorar y robar archivos, ejecutar comandos y realizar vigilancia de la actividad del usuario. El código de PowerShell en esta etapa es el encargado de extraer los archivos de instalación.

  • Persistencia: Para que el malware sea permanente, los hackers extraen los archivos a una carpeta de aspecto normal (C:\ProgramData\CommunicationLayer\) y crean un acceso directo de inicio falso, por ejemplo, llamado WindowsUpdate.lnk. Este acceso directo garantiza que el RAT se inicie automáticamente cada vez que la víctima inicia sesión, consolidando el acceso duradero a largo plazo.

Dadas las tácticas multifacéticas y altamente evasivas empleadas en la campaña JS#SMUGGLER, Securonix enfatiza la importancia de fortalecer las defensas de los endpoints. Es fundamental validar cuidadosamente todas las descargas y monitorear la actividad sospechosa de scripts y la ejecución de procesos no autorizados, especialmente aquellos que involucran mshta.exe o PowerShell.

Manténgase al día con la información minuto a minuto en Facebook Twitter/X Threads Bluesky ¡NEWSTECNICAS su ventana tecnológica!
Compartir:


 

Caracas-Venezuela
(+58) 0424-1924192
(+58) 0212-4334107
newstecnicas1@gmail.com
CEO: Jhonathan Castro | RIF: V12095181-1
NEWSTECNICAS | Tecnología, IA, Gaming. © 2025 - Todos los derechos reservados -