Uma campanha de malware altamente furtiva vem sendo utilizada para comprometer usuários por meio de JavaScript malicioso injetado em sites legítimos. A técnica foi observada em uma operação identificada como JS#SMUGGLER, que serve como porta de entrada para o trojan de acesso remoto NetSupport RAT. O ataque começa quando usuários visitam páginas comprometidas, aparentemente inofensivas, onde um script ofuscado é carregado de forma invisível.
Esse JavaScript atua como loader e inicia uma cadeia de execução que envolve arquivos HTA (HTML Application) e comandos PowerShell, permitindo que o trojan seja instalado no sistema sem alertas visíveis. O NetSupport RAT, embora originalmente criado como ferramenta legítima de suporte remoto, é amplamente utilizado por agentes maliciosos para fins de espionagem, roubo de dados e controle remoto de sistemas. Com ele, invasores conseguem acessar arquivos, capturar telas e manipular o dispositivo da vítima em tempo real. Uma das características mais perigosas da campanha é o uso de sites legítimos como vetores involuntários de infecção, o que dificulta a detecção inicial. O uso de camadas de ofuscação no código JavaScript e a execução fora do navegador convencional aumentam a evasão frente a sistemas de segurança.
O método permite que os operadores da ameaça bypassem listas de bloqueio baseadas em domínio e ferramentas de detecção baseadas em comportamento de usuário, uma vez que a infecção acontece sem a necessidade de cliques ou downloads explícitos. Especialistas alertam que a sofisticação técnica do JS#SMUGGLER representa um avanço nos ataques via web, pois combina persistência, evasão e aproveitamento de recursos legítimos, dificultando a resposta rápida por parte de equipes de segurança.
