Okendo-arvostelulaajennuksen toimitusketjuhyökkäys: SmartApeSG valjasti ClickFix-haittaohjelman yli 18 000 verkkokauppaan

Haitallisen JavaScriptin tekniset mekanismit

Ujutettu koodi toimi vaiheittaisena lataajana . Se ei suoraan pudottanut haittaohjelmaa, vaan suoritti ensin ympäristötarkistuksia:

• localStorage-seuranta – Ensimmäisellä käynnillä skripti tallensi aikaleiman selaimeen. Tämä esti toistetun suorituksen samalle käyttäjälle, vähentäen kohinaa ja havaitsemisriskiä .
• User-Agent-suodatus (mobiililaitteiden poissulkeminen) – Skripti tarkisti selaimen User-Agent-merkkijonon ja ohitti mobiililaitteet. Myöhemmät vaiheet edellyttivät Windows-kohtaisia toimintoja .
• XOR-salaaminen – Lataaja purki XOR-salatut merkkijonopalat ajon aikana rekonstruoidakseen ohjauspalvelimen (C2) URL-osoitteen .
• Dynaaminen skriptin lisäys – URL-osoitteen rekonstruoinnin jälkeen koodi lisäsi sivulle <script>-elementin hakeakseen lisähyötykuormia .
• Väärennetty CAPTCHA / ClickFix-sosiaalinen manipulointi – Tarkistukset läpäisseille käyttäjille näytettiin väärennetty "varmista, että olet ihminen" -sivu, joka tyyliltään muistutti ClickFix-palvelua. Sivu kehotti käyttäjää avaamaan Windowsin Suorita-valintaikkunan ja liittämään komento, joka oli kopioitu leikepöydälle .

ClickFix-sosiaalisen manipuloinnin ansa

ClickFix on sosiaalinen manipulointitekniikka, jossa haitallinen skripti kopioi komennon käyttäjän leikepöydälle ja ohjeistaa häntä liittämään ja suorittamaan sen. Tässä hyökkäyksessä ClickFix-kehotus oli upotettu väärennettyyn CAPTCHA-sivuun . Jos käyttäjä noudatti ohjeita, liitetty komento käynnisti PowerShell-skriptin tai HTML-sovelluksen (HTA), joka latasi ja asensi haittaohjelman .

Haittaohjelmien toimitus: RATit ja tietovarkaat

ClickFix-manipuloinnin onnistuessa tartuntaketju toimitti yhden tai useamman seuraavista :

• NetSupport RAT – Etähallintatroijalainen, joka antaa hyökkääjälle pysyvän etäyhteyden.
• Remcos RAT – Etähallintatroijalainen, jossa on näppäilyntallennus- ja valvontaominaisuuksia.
• StealC – Tietovaras, joka kohdistuu salasanoihin ja pankkitietoihin.
• Sectop RAT – Etähallintatroijalainen, jota käytetään vakoiluun.
• DeerStealer – Tietovaras, joka on havaittu SmartApeSG:n aiemmissa ClickFix-muunnoksissa .

Hyökkäyksen laajuus

• Yli 18 000 verkkokauppaa käytti vaarantunutta Okendo-laajennusta .
• Kohdesivustot vaihtelivat keskikokoisista verkkokaupoista suuriin yhdysvaltalaisiin vähittäiskauppaketjuihin. Yhdellä kärsineellä brändillä on noin 7 miljoonaa vierailijaa kuukaudessa .
• Pelkästään 14.5.2026 Zscalerin pilvialusta tallensi lähes 15 000 estoa SmartApeSG-toimintaan liittyen .

SmartApeSG:n aiempi haittaohjelmahistoria

SmartApeSG on toiminut jo kesästä 2024 lähtien. Ryhmä on käyttänyt ClickFix-tyylisiä kampanjoita toimittaen NetSupport RAT:ia, Remcos RAT:ia, StealC:tä ja Sectop RAT:ia . Aiemmissa kampanjoissa ryhmä käytti vaarantuneita verkkosivustoja, joilla oli väärennettyjä CAPTCHA-sivuja. DeerStealer-tietovaras on myös havaittu aiemmissa ClickFix-muunnoksissa . Okendo-hyökkäys on eskalaatio: sen sijaan, että SmartApeSG olisi tartuttanut yksittäisiä verkkosivustoja, se komprometoi laajalti käytetyn kolmannen osapuolen laajennuksen saavuttaakseen tuhansia sivustoja kerralla .

Korjaustoimenpiteet

• Zscaler ThreatLabz ilmoitti havainnostaan Okendolle 14.5.2026 .
• Okendo vahvisti tietonsa tapahtumasta ja palautti laajennuksen puhtaaseen tilaan .
• Zscaler otti käyttöön havaintosignatuurit JS.Injection.SmartApeSG-uhkan alle .
• Kompromettimerkit (IoC) sisältävät vaarantuneen laajennuksen URL-osoitteen (

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) ja SmartApeSG:n C2-infrastruktuurin verkkotunnukset, kuten api[.]wigetticks[.]com ja api[.]wizzleticks[.]com .