Esta noticia forma parte del resumen del día:
De JS Smuggler a FvncBot y Frost: Cómo Fallas en WordPress, Android e IA Exponen a Empresas Globales
09 de December de 2025
Ver resumen completo
Noticia 1 de 4

JS#SMUGGLER: Campaña avanzada utiliza sitios web comprometidos para desplegar NetSupport RAT

JS#SMUGGLER: Campaña avanzada utiliza sitios web comprometidos para desplegar NetSupport RAT

Investigadores de Securonix han identificado una nueva campaña de infección altamente sofisticada, denominada JS#SMUGGLER, que aprovecha sitios web comprometidos para distribuir el conocido NetSupport RAT, una herramienta legítima de control remoto frecuentemente abusada por actores maliciosos para tomar el control de equipos empresariales.

Cómo funciona la cadena de ataque

La operación destaca por su uso de múltiples etapas diseñadas para evadir controles de seguridad tradicionales. Todo inicia con JavaScript fuertemente ofuscado inyectado en páginas vulnerables. Este script activa redirecciones invisibles mediante iframes ocultos, conduciendo a la descarga de un loader secundario.

Ese loader genera dinámicamente una URL que ejecuta un archivo HTA a través de “mshta.exe”, mecanismo que permite saltarse muchas restricciones de ejecución. El HTA descifra y carga un stager de PowerShell directamente en memoria, evitando la creación de archivos en disco y reduciendo la huella forense.

A partir de ahí, el stager descarga un archivo ZIP desde infraestructura controlada por los atacantes, extrae NetSupport RAT en rutas como:

C:\ProgramData\CommunicationLayer

Luego lo ejecuta mediante un wrapper en JScript y establece persistencia creando accesos directos falsos en la carpeta de inicio de Windows.

Qué puede hacer NetSupport RAT

Aunque NetSupport es una herramienta legítima de asistencia remota, en manos de un atacante permite:

  • Control total del escritorio

  • Ejecución arbitraria de comandos

  • Robo y exfiltración de información

  • Manejo de archivos y sesiones

  • Uso del dispositivo comprometido como proxy para movimiento lateral

Hasta ahora, no se ha atribuido la campaña a un grupo de amenazas específico, pero su diseño apunta a entornos corporativos y usuarios con privilegios elevados.

Recomendaciones para equipos de TI y seguridad

Securonix recomienda endurecer el entorno aplicando medidas clave:

  • Implementar Content Security Policy (CSP) estrictas para bloquear cargas externas no autorizadas.

  • Monitorear de forma continua la ejecución de scripts sospechosos en sitios internos y externos.

  • Habilitar logging avanzado de PowerShell (ScriptBlock Logging, Module Logging).

  • Restringir o bloquear mshta.exe, un ejecutable históricamente explotado en campañas de malware.

  • Integrar análisis basado en comportamiento para identificar cargas en memoria, loaders web ofuscados y uso anómalo de binarios del sistema.

Fuente: https://www.csirtasobancaria.com/alertas-de-seguridad/netsupport-rat-el-peligroso-uso-de-tecnologia-legitima-para-acceso-remoto
Siguiente → FvncBot, SeedSnatcher y ClayRat: nuevas ...
Escrito por:
Luis Carreón
📰 Otras noticias del resumen
Noticia 1 (Actual)
JS#SMUGGLER: Campaña avanzada utiliza sitios web comprometidos para desplegar NetSupport RAT
Noticia 2
FvncBot, SeedSnatcher y ClayRat: nuevas capacidades avanzadas elevan el robo de datos en Android
Noticia 3
Sneeit WordPress RCE e ICTBroadcast: fallas críticas impulsan ataques de la botnet Frost
Noticia 4
Investigadores alertan sobre más de treinta vulnerabilidades en herramientas de codificación basadas en inteligencia artificial
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al resumen completo Volver al inicio