安全分析與維運管理平台 Securonix 最近發表了一種名為 JS#SMUGGLER 的新型惡意軟體攻擊活動的詳細資訊。該攻擊利用名為 NetSupport RAT 的強大工具，使駭客能夠完全秘密地控制受害者的電腦。 Securonix 的威脅研究團隊，包括分析師 Akshay Gaikwad、Shikha Sangwan 和 Aaron Beardslee，共同進行了這項分析，並將其詳情分享給 Hackread。

三步驟感染

整個攻擊過程分為三個階段，以確保安全系統無法察覺。攻擊始於使用者造訪被入侵的網站，第一步使用混淆的 JavaScript 載入器。混淆是指駭客故意打亂程式碼，甚至將惡意指令隱藏在數千個隨機的註解區塊中，以此來欺騙安全檢查。

這個 JavaScript 腳本（通常從如 boriver.com 等網站載入）被編程為首先檢查使用者是否使用桌上型電腦或行動裝置。如果偵測到是桌上型電腦，它才會繼續執行完整的感染流程。研究人員觀察到，該腳本還使用了一個巧妙的技巧，只對每個使用者執行一次，這有助於在從諸如 stoneandjon.com 等網域獲取下一階段惡意程式碼之前，保持操作的低調與隱蔽性。

第二步涉及一個秘密的HTML應用程式（HTA）。該HTA完全隱蔽地運行，使用名為 mshta.exe 的標準Windows程式。 HTA內部包含下一部分程式碼，該程式碼受到多層加密保護：AES-256-ECB、Base64和GZIP壓縮。這種複雜的設定確保程式僅以完全解碼的形式存在於電腦記憶體中，這意味著它永遠不會將主感染檔案寫入硬碟，從而避免被防毒軟體輕易發現。

第三步是安裝最後一個程式：NetSupport RAT。值得注意的是，NetSupport Manager 本身就是一款針對 IT 專業人員的實用工具。然而，眾所周知，當駭客將其用於惡意目的時，它變成了遠端存取木馬 (RAT)。 Securonix 確認，整個感染鏈的最終目標是實現全面且持久的遠端存取。一旦該木馬開始運行，駭客便能完全控制遠端桌面、瀏覽和竊取檔案、執行系統指令以及進行監控。此階段的 PowerShell 程式碼會從類似 kindstki.com 的網域拉取一個壓縮檔案。

為了讓惡意軟體永久存在，駭客會將檔案提取到一個看似普通的資料夾中C:\ProgramData\CommunicationLayer\，並建立一個偽造的啟動快捷方式，例如命名為 WindowsUpdate.lnk。這個捷徑可以確保遠端存取木馬(RAT) 在受害者每次登入時自動啟動，表明這是一個活躍且高度專業的惡意軟體操作。這種利用合法軟體和標準系統工具（如 mshta.exe 和 PowerShell）的技術，加上多重加密和記憶體駐留（in-memory）的執行方式，顯示了攻擊者具備高超的迴避偵測能力。

鑑於此次 JS#SMUGGLER 攻擊活動採用了多層次的策略，所有網路使用者都必須保持警惕。為保護自身免受此類威脅，請仔細驗證所有軟體下載，並加強終端安全防護，以偵測可疑腳本活動和未經授權的進程執行。企業和個人應重點監控與 mshta.exe 相關的異常活動以及任何企圖在啟動資料夾中建立偽造系統更新連結的行為，這將有助於及時發現並遏止這類複雜且具有長期控制企圖的惡意軟體威脅。