Atak łańcucha dostaw na widget Okendo: SmartApeSG wstrzyknął złośliwy JavaScript via ClickFix

Mechanika techniczna złośliwego JavaScriptu

Wstrzyknięty kod działał jako staged loader (ładowarka etapowa) z wieloma warstwami unikania wykrycia i celowania . Zamiast natychmiastowo instalować złośliwe oprogramowanie, najpierw przeprowadzał kontrole środowiskowe, aby uniknąć wykrycia i upewnić się, że ofiara jest odpowiednim celem:

• Śledzenie za pomocą localStorage — Podczas pierwszej wizyty skrypt ustawiał znacznik czasu w przeglądarkowym localStorage. Zapobiegało to wielokrotnemu uruchomieniu dla tego samego użytkownika, redukując szum i zmniejszając ryzyko wywołania alertów bezpieczeństwa podczas rutynowych testów .
• Filtrowanie User-Agent (wykluczanie urządzeń mobilnych) — Skrypt sprawdzał ciąg User-Agent odwiedzającego, aby ignorować przeglądarki mobilne i celować wyłącznie w środowiska desktopowe. Późniejsze etapy infekcji opierały się na interakcjach specyficznych dla systemu Windows, więc użytkownicy mobilni byli pomijani .
• Zaciemnianie XOR — Ładowarka dynamicznie odtwarzała adres URL serwera dowodzenia i kontroli (C2) poprzez dekodowanie fragmentów zaciemnionych XOR w czasie rzeczywistym, omijając podstawową detekcję opartą na sygnaturach .
• Dynamiczne wstrzykiwanie skryptu — Po odtworzeniu ukrytego adresu C2, kod wstrzykiwał nowy element <script> na stronę, aby pobrać kolejne ładunki .
• Fałszywa CAPTCHA / inżynieria społeczna ClickFix — Ofiary, które przeszły wszystkie kontrole, otrzymywały fałszywą stronę "zweryfikuj, że jesteś człowiekiem" stylizowaną na ClickFix. Polecenie instruowało użytkowników, aby otworzyli okno dialogowe Uruchamianie systemu Windows i wkleili komendę, która została wcześniej skopiowana do schowka .

Przynęta inżynierii społecznej ClickFix

ClickFix to technika socjotechniczna, w której złośliwy skrypt kopiuje komendę do schowka użytkownika, a następnie wyświetla instrukcje, aby ją wkleić i uruchomić – zwykle naciskając Win + R, wklejając i wciskając Enter. Komenda jest maskowana jako krok weryfikacyjny. W tym ataku przynęta ClickFix została osadzona w fałszywej stronie CAPTCHA wygenerowanej przez skompromitowany widget . Jeśli użytkownik postępował zgodnie z instrukcjami, wklejona komenda uruchamiała skrypt PowerShell lub plik HTML Application (HTA), który następnie pobierał i instalował złośliwe oprogramowanie .

Dostarczone ładunki: RAT-y i kradzieże informacji

Po wykonaniu przynęty ClickFix łańcuch infekcji dostarczał jeden lub więcej z następujących ładunków :

• NetSupport RAT — trojan zdalnego dostępu dający atakującym trwałą zdalną kontrolę nad zainfekowaną maszyną.
• Remcos RAT — trojan zdalnego dostępu z funkcjami rejestracji klawiszy, nadzoru i kradzieży danych logowania.
• StealC — kradzież informacji, celująca w hasła i dane finansowe.
• Sectop RAT — trojan zdalnego dostępu używany do szpiegostwa.
• DeerStealer — kradzież informacji zaobserwowana we wcześniejszych wariantach ClickFix autorstwa SmartApeSG .

Skala naruszenia

• Ponad 18 000 marek e-commerce używało skompromitowanego widgetu Okendo, co odsłoniło ogromną powierzchnię ataku downstream .
• Zainfekowane strony obejmowały zarówno średniej wielkości sklepy internetowe, jak i duże amerykańskie marki detaliczne, a szacowany ruch sięgał od 150 000 do kilku milionów odwiedzających miesięcznie na witrynę. Jedna z dotkniętych amerykańskich marek detalicznych przyciąga około 7 milionów odwiedzających miesięcznie .
• Tylko 14 maja 2026 roku platforma chmurowa Zscaler zarejestrowała blisko 15 000 blokad związanych z działalnością SmartApeSG – najwyższy dzienny wolumen kiedykolwiek zaobserwowany dla tego aktora zagrożeń .

Wcześniejsza historia złośliwego oprogramowania SmartApeSG

SmartApeSG nie jest nowym aktorem. Grupa ma udokumentowaną historię prowadzenia kampanii w stylu ClickFix od połowy 2024 roku, dostarczając NetSupport RAT, Remcos RAT, StealC i Sectop RAT w wielu wcześniejszych operacjach . Wcześniejsze kampanie wykorzystywały skompromitowane strony internetowe z fałszywymi stronami CAPTCHA, aby nakłonić użytkowników do wklejenia i wykonania złośliwych poleceń za pomocą okna dialogowego Uruchamianie systemu Windows . Grupa była również obserwowana podczas wdrażania kradzieża informacji DeerStealer we wcześniejszych wariantach ClickFix . Atak na Okendo stanowi eskalację: zamiast infekować pojedyncze witryny, SmartApeSG skompromitował powszechnie używany widget strony trzeciej, aby dotrzeć do tysięcy witryn jednocześnie – klasyczny wzmacniacz łańcucha dostaw .

Działania naprawcze

• Zespół Zscaler ThreatLabz zgłosił incydent bezpośrednio firmie Okendo 14 maja 2026 roku .
• Okendo potwierdziło świadomość incydentu i przywróciło dotknięty skrypt widgetu do czystego stanu, skutecznie usuwając złośliwy kod z obiegu .
• Zscaler wdrożył sygnatury detekcyjne pod nazwą zagrożenia JS.Injection.SmartApeSG, aby śledzić i blokować tę działalność iniekcyjną .
• Wskaźniki kompromitacji (IoC) opublikowane przez badaczy obejmują adres URL skompromitowanego widgetu (

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) oraz domeny infrastruktury C2 SmartApeSG, takie jak api[.]wigetticks[.]com i api[.]wizzleticks[.]com .