Une nouvelle menace informatiques vient de faire surface et elle a de quoi inquiéter. Des experts en cybersécurité ont découvert que le malware JS#SMUGGLER utilise des sites web compromis pour diffuser un dangereux logiciel d’accès à distance, le NetSupport RAT. Ce trojan permet aux attaquants un contrôle total sur les machines infectées.
Cette attaque n’est pas juste un script vite fait. Elle combine plusieurs techniques avancées pour passer sous le radar. Le point crucial, c’est la manière dont le maliciel est déployé, rendant sa détection particulièrement ardue.
Comment JS#SMUGGLER infiltre les systèmes via des sites compromis
Le procédé est un chef d’œuvre de malveillance en plusieurs étapes. D’abord, un script JavaScript obfusqué est injecté dans des sites web légitimes. Ce script agit comme un loader. Son but est de charger en arrière-plan une autre charge utile qui se trouve sur un domaine externe.
Ce script adapte son comportement selon qu’il est consulté depuis un smartphone ou un ordinateur. Sur mobile, il pousse un iframe en plein écran, alors que sur un desktop, il charge un script distant. Cette détection cible permet de maximiser l’efficacité de la compromission.
En prime, le script est conçu pour s’exécuter uniquement lors de la première visite, histoire de ne pas attirer le moindre soupçon. Un coup de maître pour ne pas se faire repérer trop vite !
Les mécanismes cachés derrière la fuite
Le script téléchargé à la deuxième étape construit un URL à la volée. Ce lien pointe vers une application HTML (HTA) qui se lance via l’exécutable mshta.exe. L’intérêt ? Cette HTA exécute à son tour un script PowerShell chiffré.
Tout est pensé pour rester furtif. La fenêtre HTA est totalement invisible et minimalisée. Une fois le script PowerShell en mémoire, il efface toute trace résiduelle sur le disque dur avant de se terminer. Cette méthode complique sérieusement l’analyse post-infection.
Le script PowerShell récupère alors le NetSupport RAT. Ce dernier ouvre la porte au piratage total de la machine cible: accès à distance, vol de fichiers, exécution de commandes…
Pourquoi NetSupport RAT reste une menace redoutable en 2025
Ce logiciel malveillant donne les pleins pouvoirs aux cybercriminels. Tout est automatisé pour espionner l’utilisateur sans qu’il s’en doute. L’accès à distance signifie qu’un pirate peut agir comme s’il était assis devant la machine.
Fichiers volés, données modifiées, surveillance en temps réel : on n’est pas loin d’un cauchemar pour les entreprises et les particuliers. Malgré les outils de défense, nombre d’infections passent encore inaperçues. C’est là toute la subtilité du NetSupport RAT.
Ce qui rend la situation encore plus tendue, c’est le ciblage large qui est observé. Les attaquants ne visent pas une seule industrie spécifique mais un vaste éventail d’internautes, ce qui complique la mise en place d’une seule parade efficace.
Recommandations concrètes pour les défenseurs
Pour contrer ce type de menace, il faut arrêter d’attendre que les choses se passent. Mettre en place une surveillance poussée des scripts et des processus PowerShell est plus que jamais nécessaire. Un blocage de mshta.exe sur les postes sensibles peut faire la différence.
Les experts conseillent d’utiliser des politiques de sécurité renforcées, notamment les règles CSP (Content Security Policy) pour limiter l’exécution de contenus non autorisés. La collecte et le suivi des logs PowerShell sont également des outils indispensables pour détecter l’intrusion rapidement.
On a souvent tendance à sous-estimer la furtivité des scripts malicieux. Pourtant, c’est ce maillon faible qui permet à des attaques sophistiquées comme JS#SMUGGLER de réussir leur coup.
Source: thehackernews.com
- Windows 11 : correction des commandes PowerShell après des erreurs initiales - janvier 13, 2026
- Comment une startup expérimentée en cybersécurité prend la tête de la course à l’armement de l’IA - janvier 13, 2026
- Ce Leader de la Cybersécurité Prêt à Conquérir un Marché de 300 Milliards de Dollars d’ici 2030 - janvier 13, 2026
