Supply Chain-атака на виджет отзывов Okendo: как SmartApeSG через ClickFix заразил более 18 000 сайтов

Технические детали: как работал загрузчик

Внедрённый код был не просто вредоносной вставкой, а сложным многоступенчатым загрузчиком, который обходил защиту классических антивирусов и избирательно выбирал жертв :

• localStorage-маркировка: При первом посещении сайта скрипт устанавливал временную метку в браузерном localStorage. Это предотвращало повторное выполнение атаки для одного и того же пользователя, снижая шум и уменьшая вероятность обнаружения при обычном тестировании .

• Фильтрация по User-Agent: Скрипт проверял строку User-Agent браузера. Атака нацелена исключительно на настольные компьютеры, так как последующие этапы развёртывания требуют Windows-специфичных взаимодействий. Мобильные устройства игнорировались .

• XOR-обфускация: Вредоносный код не содержал прямых ссылок на серверы управления (C2). Вместо этого он содержал XOR-обфусцированные фрагменты строк, которые динамически собирались в полноценный URL только во время выполнения .

• Динамическая инъекция: После сборки URL загрузчик внедрял на страницу новый элемент <script>, чтобы загрузить следующий уровень полезной нагрузки .

Социальная инженерия ClickFix: как пользователя заставляют запустить вирус

ClickFix — это техника социальной инженерии, при которой вредоносный скрипт копирует команду в буфер обмена пользователя, а затем отображает на экране поддельную инструкцию: «Откройте окно Run (Win + R), вставьте команду и нажмите Enter» . В атаке на Okendo эта маскировка была реализована через поддельную страницу CAPTCHA. Пользователю показывали фальшивое окно «подтвердите, что вы человек» в стиле ClickFix . Если посетитель доверчиво нажимал на поле CAPTCHA, на экране появлялась инструкция, а в буфер обмена уже была скопирована команда для запуска PowerShell-скрипта или HTML-приложения (HTA) .

Чем заражались компьютеры: RAT-трояны и стилеры

При выполнении команды с фальшивой CAPTCHA запускался следующий этап заражения, который устанавливал одно или несколько из следующих вредоносных ПО :

• NetSupport RAT — троян удалённого доступа, дающий атакующему полный контроль над системой.
• Remcos RAT — троян с функциями кейлоггера, шпионажа и кражи учётных данных.
• StealC — стилер паролей и финансовых данных.
• Sectop RAT — ещё один инструмент для удалённого шпионажа.
• DeerStealer — стилер, замеченный в более ранних кампаниях SmartApeSG, также с ClickFix .

Масштаб атаки

• Более 18 000 магазинов, использующих виджет Okendo, стали потенциальной точкой входа для злоумышленников .
• Посещаемость затронутых сайтов варьировалась от 150 000 до нескольких миллионов посетителей в месяц. Один только крупный американский бренд имеет около 7 миллионов посетителей ежемесячно .
• Только 14 мая 2026 года Zscaler зафиксировал почти 15 000 блокировок по шаблону SmartApeSG — рекордный показатель для этой угрозы .

Предыстория: кто такие SmartApeSG?

Группа SmartApeSG активна как минимум с середины 2024 года и известна своими кампаниями по распространению тех же угроз: NetSupport RAT, Remcos RAT, StealC и Sectop RAT . Ранее они использовали скомпрометированные сайты с поддельными CAPTCHA-страницами . Атака на Okendo — это эскалация: вместо взлома отдельных сайтов, SmartApeSG скомпрометировала один популярный сторонний виджет, чтобы дотянуться до тысяч сайтов одновременно — классическая цепочная (supply chain) атака .

Ответные меры

• Zscaler ThreatLabz немедленно уведомил компанию Okendo об инциденте 14 мая 2026 года .
• Okendo подтвердила осведомлённость о взломе и восстановила чистую версию скрипта, устранив вредоносный код .
• Zscaler развернул сигнатуры обнаружения под именем JS.Injection.SmartApeSG для отслеживания и блокировки атаки .
• Исследователи опубликовали индикаторы компрометации (IoC): скомпрометированный URL виджета (

  hxxp://cdn-static.okendo.io/reviews-widget-plus/js/okendo-reviews.js

  ) и домены инфраструктуры C2 SmartApeSG, такие как api.wigetticks.com и api.wizzleticks.com .