يحذر باحثون في الأمن السيبراني من حملة هجومية جديدة تحمل اسم JS#SMUGGLER، تعتمد على استغلال مواقع إلكترونية مخترقة لتوزيع برمجية التحكم عن بُعد NetSupport RAT، وهي أداة معروفة بقدرتها على منح المهاجم سيطرة كاملة على الأجهزة المصابة. وتأتي هذه الحملة ضمن موجة متصاعدة من الهجمات التي تستهدف مستخدمي المؤسسات عبر سلاسل عدوى معقدة تعتمد على تحميلات خفية وتنفيذ طبقي للبرمجيات الضارة.
وتشير تحليلات شركة Securonix إلى أن سلسلة الهجوم تتكون من ثلاث مراحل رئيسية: محمّل JavaScript مُموّه يتم حقنه داخل الموقع، ثم ملف HTA يعمل عبر أداة mshta.exe لتشغيل مراحل PowerShell مشفرة، وصولًا إلى حمولة PowerShell النهائية التي تتولى تنزيل وتشغيل البرمجية الأساسية.
آليات الهجوم وتجاوز الدفاعات
يوضح الباحثون أن NetSupport RAT يمنح المهاجم قدرة كاملة على الجهاز المستهدف، بما يشمل الوصول لسطح المكتب عن بُعد، وتنفيذ الأوامر، وسرقة البيانات، وإدارة الملفات، واستخدام الجهاز كوكيل اتصال. ورغم خطورة الحملة، لا توجد أدلة واضحة تربطها بجهة تهديد معروفة، ما يشير إلى أنها قد تكون جزءًا من نشاط واسع يستهدف مستخدمي المؤسسات دون تمييز.
وتصف Securonix العملية بأنها هجوم متعدد المراحل يعتمد على إطارات مخفية، ومحمّلات مشفرة، وتنفيذ نصوص متسلسل. وتعتمد المواقع المصابة على عمليات إعادة توجيه صامتة تجلب محمّل JavaScript مشفرًا باسم phone.js من نطاق خارجي، ليقوم بفحص الجهاز وتحديد ما إذا كان يجب عرض إطار ملء الشاشة للمستخدمين على الهواتف أو تحميل نص ضار آخر للمستخدمين على الحواسيب.
ويحتوي المحمّل على آلية تتبع تمنع تشغيل الشيفرة الخبيثة أكثر من مرة، ما يقلل فرص اكتشافها. كما يقوم النص البعيد في المرحلة الأولى ببناء رابط مخصص أثناء التشغيل لتنزيل ملف HTA وتشغيله عبر mshta.exe، ليعمل بدوره كمحمّل لمرحلة PowerShell مؤقتة تُكتب على القرص ثم تُفك شيفرتها وتُنفذ مباشرة في الذاكرة لتجنب الرصد.
ارتباطات مشبوهة بنطاقات ضارة معروفة
تكشف البيانات أن النطاق الذي يستضيف محمّل JavaScript، وهو boriver[.]com، مرتبط سابقًا بجهة تهديد تُعرف باسم SmartApeSG، والتي استخدمت مواقع شرعية مخترقة لنشر NetSupport RAT منذ أواخر 2024. ورغم هذا الارتباط، لا يزال من غير الواضح ما إذا كانت حملة JS#SMUGGLER من تنفيذ الجهة نفسها.
ويشير باحثو Securonix إلى أن تحليل سلوك البرمجية تم عبر بيئة مكتبية فقط، بينما لم يتمكن الفريق من محاكاة جانب الهجمات الموجهة للأجهزة المحمولة، رغم وجود مؤشرات على اختلاف مسار العدوى بين المنصتين.
حملة CHAMELEON#NET وتوزيع Formbook
تأتي هذه التطورات بعد أسابيع من كشف الشركة عن حملة أخرى متعددة المراحل تحمل اسم CHAMELEON#NET، تعتمد على رسائل تصيّد تستهدف قطاع الضمان الاجتماعي الوطني، وتدفع الضحايا لتنزيل أرشيف مضغوط يحتوي على محمّل JavaScript شديد التمويه. ويقود هذا المحمّل إلى تشغيل مُحمّل VB.NET معقد يستخدم تقنيات تشفير وانعكاس متقدمة لتنفيذ برمجية Formbook، وهي أداة تسجيل مفاتيح وسرقة بيانات تعمل بالكامل داخل الذاكرة.
وتتضمن الحملة ملفات JavaScript إضافية تُكتب داخل مجلد TEMP، مثل svchost.js الذي ينشر مُحمّل DarkTortilla، وadobe.js الذي ينشر ملف PHat.jar بآلية مشابهة. وتحقق البرمجية استمراريتها عبر مجلد بدء التشغيل أو عبر سجل النظام، بينما تعتمد على تنفيذ DLL مدمج بطريقة تحميل انعكاسية تجعل اكتشافها وتحليلها الجنائي أكثر صعوبة.
