I ricercatori della sicurezza informatica richiamano l’attenzione su una “campagna su larga scala” che è stata osservata compromettendo siti Net legittimi con iniezioni di JavaScript dannose.
Secondo l’unità 42 di Palo Alto Networks, questi inietti dannosi vengono offuscati usando JsfuckQuale si riferisce a uno “stile di programmazione esoterico ed educativo” che utilizza solo una serie limitata di caratteri per scrivere ed eseguire il codice.
La società di sicurezza informatica ha dato alla tecnica un nome alternativo JSFiretruck a causa della volgarità coinvolta.
“Sono stati identificati più siti Net con JavaScript dannoso iniettato che utilizza l’offuscamento di JSFiretruck, che è composto principalmente dai simboli (,), +, $, {e},” I ricercatori della sicurezza Hardik Shah, Brad Duncan e Pranay Kumar Chhaparwal disse. “L’offuscamento del codice ne nasconde il vero scopo, ostacolando l’analisi.”
Ulteriori analisi hanno stabilito che il codice iniettato è progettato per controllare il referrer del sito Net (“doc.referrer“), che identifica l’indirizzo della pagina Net da cui ha avuto origine una richiesta.
Se il referrer fosse un motore di ricerca come Google, Bing, DuckDuckgo, Yahoo! O AOL, il codice JavaScript reindirizza le vittime a URL dannosi in grado di fornire malware, exploit, monetizzazione del traffico e malverting.
L’unità 42 ha dichiarato che la sua telemetria ha scoperto 269.552 pagine Net che sono state infettate con codice JavaScript utilizzando la tecnica JSFiretruck tra il 26 marzo e il 25 aprile 2025. Un picco nella campagna è stato registrato per la prima volta il 12 aprile, quando sono state osservate oltre 50.000 pagine Net infettate in un solo giorno.
“La scala e la furtività della campagna rappresentano una minaccia significativa”, hanno affermato i ricercatori. “La natura diffusa di queste infezioni suggerisce uno sforzo coordinato per compromettere i siti Net legittimi come vettori di attacco per ulteriori attività dannose.”
Saluta Hellotds
Lo sviluppo arriva quando Gen Digital ha rimosso un sofisticato servizio di distribuzione del traffico (TDS) chiamato Hellotds progettato per reindirizzare condizionalmente i visitatori del sito a pagine captcha false, truffe di supporto tecnico, aggiornamenti falsi del browser, estensioni del browser indesiderate e truffe di criptovaluta attraverso il codice Javascript ospitato a distanza iniettato nei siti.
L’obiettivo principale del TDS è quello di fungere da gateway, determinando l’esatta natura del contenuto da consegnare alle vittime dopo le impronte digitali. Se l’utente non è considerato un obiettivo adatto, la vittima viene reindirizzata a una pagina Net benigna.
“I punti di ingresso della campagna sono infetti o altrimenti siti Net di streaming controllati dagli attaccanti, servizi di condivisione di file e campagne di malverting”, i ricercatori Vojtěch Krejsa e Milan Špinka disse In un rapporto pubblicato questo mese.
“Le vittime vengono valutate in base alla geolocalizzazione, all’indirizzo IP e all’impronta digitale del browser; advert esempio, vengono rilevate e respinte le connessioni tramite VPN o browser senza testa.”
Alcune di queste catene di attacco sono state trovate per servire fasci pagine captcha che sfruttano il ClickFix Strategia per indurre gli utenti a eseguire codice dannoso e infettare le loro macchine con un malware noto come Piccollo (aka caricatore di emmenhtal), che è noto ai furti di informazioni sul server come Lumma.
Al centro dell’infrastruttura di Hellotds è l’uso di domini di livello di alto livello .Prime,. Store e .com che vengono utilizzati per ospitare il codice JavaScript e innescare i reindirizzamenti a seguito di un processo di impronte digitali in più stadi progettato per raccogliere informazioni di rete e browser.
“L’infrastruttura di Hellotds dietro false campagne CAPTCHA dimostra come gli aggressori continuano a perfezionare i loro metodi per aggirare le protezioni tradizionali, sfuggire al rilevamento e colpire selettivamente le vittime”, hanno affermato i ricercatori.
“Sfruttando le impronte digitali sofisticate, l’infrastruttura di dominio dinamico e le tattiche di inganno (come imitare siti Net legittimi e servire contenuti benigni ai ricercatori) queste campagne raggiungono sia la furtività che la scala.”
