Cybersecurity-onderzoekers vestigen de aandacht op een “grootschalige campagne” die is waargenomen dat legitieme websites met kwaadaardige JavaScript-injecties zijn bekeken.
Volgens Palo Alto Networks Unit 42 worden deze kwaadaardige injecties verdoezeld met behulp van JSFuck, die verwijst naar een “esoterische en educatieve programmeerstijl” die slechts een beperkte set tekens gebruikt om code te schrijven en uit te voeren.
Het Cybersecurity Company heeft de techniek een alternatieve naam JSfiretruck gegeven vanwege de betrokken godslastering.
“Meerdere websites zijn geïdentificeerd met geïnjecteerd kwaadwillend JavaScript dat gebruik maakt van JSFIRETRUCK OBFUSCCATION, die voornamelijk bestaat uit de symbolen (,), +, $, {en},” zei beveiligingsonderzoekers Hardik Shah, Brad Duncan en Pranay Kumar Chhaparwal. “De verduistering van de code verbergt zijn ware doel en belemmert analyse.”
Verdere analyse heeft vastgesteld dat de geïnjecteerde code is ontworpen om de Website Reference (“Document.Referrer”) te controleren, die het adres van de webpagina identificeert waaruit een verzoek is voortgekomen.
Mocht de verwijzing een zoekmachine zijn zoals Google, Bing, Duckduckgo, Yahoo!, Of AOL, dan wordt de JavaScript -code slachtoffers omleidend naar kwaadaardige URL’s die malware, exploits, verkeersinmonentisatie en malvertisatie kunnen leveren.
Unit 42 zei dat zijn telemetrie 269.552 webpagina’s ontdekte die zijn geïnfecteerd met JavaScript -code met behulp van de JSFIRETRUCK -techniek tussen 26 maart en 25 april 2025. Een piek in de campagne werd voor het eerst opgenomen op 12 april, toen meer dan 50.000 geïnfecteerde webpagina’s werden opgenomen in een enkele dag.
“De schaal en stealth van de campagne vormen een belangrijke bedreiging,” zeiden de onderzoekers. “De wijdverbreide aard van deze infecties suggereert een gecoördineerde inspanning om legitieme websites in gevaar te brengen als aanvalsvectoren voor verdere kwaadaardige activiteiten.”
Zeg hallo tegen Hellotds
De ontwikkeling komt wanneer Gen Digital de wraps afnam van een geavanceerde verkeersdistributiedienst (TDS) genaamd Hellotds die is ontworpen om sitebezoekers voorwaardelijk om te leiden naar nep-captcha-pagina’s, technische ondersteuning, nep-updates, ongewenste browser-extensies en cryptocurrency-scams door op afstand JavaScript-code in de sites.
Het primaire doel van de TDS is om als een toegangspoort te fungeren, de exacte aard van inhoud te bepalen die moet worden geleverd aan de slachtoffers na het vingerafdrukken van hun apparaten. Als de gebruiker niet als een geschikt doelwit wordt beschouwd, wordt het slachtoffer doorgestuurd naar een goedaardige webpagina.
“De invoerpunten van de campagne zijn geïnfecteerd of anderszins aan aanvaller gecontroleerde streamingwebsites, services voor het delen van bestanden, evenals malvertiserende campagnes,” zeiden onderzoekers Vojtěch Krejsa en Milan Špinka in een rapport dat deze maand is gepubliceerd.
“Slachtoffers worden geëvalueerd op basis van geolocatie, IP -adres en browservingerafdrukken; bijvoorbeeld verbindingen via VPN’s of kop zonder headless worden gedetecteerd en afgewezen.”
Sommige van deze aanvalsketens zijn gevonden om nep -captcha -pagina’s te bedienen die gebruikmaken van de ClickFix -strategie om gebruikers te misleiden om kwaadaardige code uit te voeren en hun machines te infecteren met een malware die bekend staat als Peaklight (aka Eevenht loader), die bekend is bij serverinformatie -stealers zoals Lumma.
Centraal in de Hellotds-infrastructuur staat het gebruik van .top-, .shop- en .com-domeinen op topniveau die worden gebruikt om de JavaScript-code te hosten en de omleidingen te activeren na een multi-fasen vingerafdrukproces die is ontworpen om netwerk- en browserinformatie te verzamelen.
“De Hellotds -infrastructuur achter nep Captcha -campagnes laat zien hoe aanvallers hun methoden blijven verfijnen om traditionele bescherming te omzeilen, detectie te ontwijken en selectief te richten op slachtoffers,” zeiden de onderzoekers.
“Door gebruik te maken van geavanceerde vingerafdrukken, dynamische domeininfrastructuur en misleidingstactieken (zoals het nabootsen van legitieme websites en het dienen van goedaardige inhoud aan onderzoekers) bereiken deze campagnes zowel stealth als schaal.”
