Ataque à Cadeia de Suprimentos do Widget Okendo Reviews: Como a SmartApeSG usou ClickFix para infectar mais de 18.000 sites de e-commerce

Mecanismos Técnicos do JavaScript Malicioso

O código injetado atuava como um carregador em estágios com múltiplas camadas de evasão e direcionamento . Em vez de dropar o malware imediatamente, ele primeiro realizava verificações ambientais para evitar detecção e garantir que a vítima era um alvo adequado:

• Rastreamento via localStorage — Na primeira visita, o script definia um marcador de data/hora no localStorage do navegador. Isso impedia a execução repetida para o mesmo usuário, reduzindo o ruído e diminuindo a chance de disparar alertas de segurança durante testes de rotina .
• Filtragem por User-Agent (exclusão de celulares) — O script verificava a string User-Agent do visitante para ignorar navegadores móveis e mirar apenas em ambientes desktop. Os estágios posteriores da infecção dependiam de interações específicas do Windows, portanto, vítimas móveis eram completamente ignoradas .
• Ofuscação XOR — O carregador reconstruía dinamicamente sua URL de comando e controle (C2) de próximo estágio decodificando fragmentos de string ofuscados com XOR em tempo de execução, contornando a detecção baseada em assinaturas simples .
• Injeção dinâmica de script — Após reconstruir a URL C2 oculta, o código injetava um novo elemento <script> na página para buscar os próximos payloads .
• Falso CAPTCHA / Engenharia social ClickFix — As vítimas que passavam por todas as verificações recebiam uma página falsa de "verifique se você é humano" estilizada como ClickFix. O prompt instruía os usuários a abrir o diálogo Executar do Windows e colar um comando que havia sido copiado silenciosamente para a área de transferência .

O Golpe de Engenharia Social ClickFix

ClickFix é uma técnica de engenharia social onde um script malicioso copia um comando para a área de transferência do usuário e, em seguida, exibe instruções pedindo que ele cole e execute — geralmente pressionando Win + R, colando e apertando Enter. O comando é disfarçado como uma etapa de verificação. Neste ataque, a isca ClickFix foi embutida em uma página CAPTCHA falsa gerada pelo widget comprometido . Se o usuário seguisse as instruções, o comando colado acionava um script PowerShell ou um arquivo HTML Application (HTA), que então baixava e instalava o malware .

Entrega do Payload: RATs e Stealers de Informações

Uma vez que a isca ClickFix era executada, a cadeia de infecção entregava um ou mais dos seguintes payloads :

• NetSupport RAT — Um trojan de acesso remoto que dá aos atacantes controle remoto persistente sobre a máquina infectada.
• Remcos RAT — Um trojan de acesso remoto com capacidades de keylogging, vigilância e roubo de credenciais.
• StealC — Um stealer de informações que visa senhas e credenciais financeiras.
• Sectop RAT — Um trojan de acesso remoto usado para espionagem.
• DeerStealer — Um stealer de informações observado em variantes anteriores do ClickFix da SmartApeSG .

Escala da Violação

• Mais de 18.000 marcas de e-commerce usavam o widget Okendo comprometido, expondo uma enorme superfície de ataque downstream .
• Os sites afetados variavam de lojas online de médio porte a grandes marcas de varejo dos EUA, com estimativas de tráfego chegando a 150.000 a vários milhões de visitantes mensais por site. Uma marca de varejo dos EUA impactada sozinha atrai aproximadamente 7 milhões de visitantes por mês .
• Apenas em 14 de maio de 2026, a plataforma de nuvem da Zscaler registrou quase 15.000 bloqueios ligados à atividade da SmartApeSG — o maior volume diário já visto para este ator de ameaças .

Histórico de Malware Anterior da SmartApeSG

A SmartApeSG não é um ator novo. O grupo tem um histórico documentado de campanhas ClickFix desde meados de 2024, entregando NetSupport RAT, Remcos RAT, StealC e Sectop RAT em múltiplas operações anteriores . Campanhas anteriores usavam sites comprometidos com páginas CAPTCHA falsas para enganar usuários a colar e executar comandos maliciosos através do diálogo Executar do Windows . O grupo também foi observado implantando o stealer DeerStealer em variantes anteriores do ClickFix . O ataque à Okendo representa uma escalada: em vez de infectar sites individuais, a SmartApeSG comprometeu um widget de terceiros amplamente usado para alcançar milhares de sites de uma só vez — um amplificador clássico de cadeia de suprimentos .

Medidas de Remediação Tomadas

• O Zscaler ThreatLabz relatou o incidente diretamente à Okendo em 14 de maio de 2026 .
• A Okendo confirmou estar ciente do incidente e restaurou o script do widget afetado a um estado limpo, efetivamente removendo o código malicioso de circulação .
• A Zscaler implantou assinaturas de detecção sob o nome de ameaça JS.Injection.SmartApeSG para rastrear e bloquear a atividade de injeção .
• Indicadores de Comprometimento (IoCs) publicados por pesquisadores incluem a URL do widget comprometido (

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) e domínios de infraestrutura C2 da SmartApeSG, como api[.]wigetticks[.]com e api[.]wizzleticks[.]com .