Атака JavaScript JSFireTruck инфицирует более 269 000 веб-страниц в 2025 году

Домашняя страницаНовости* Исследователи выявили широкомасштабную кампанию, использующую зашифрованный JavaScript для заражения законных веб-сайтов.

• Кампания под названием “JSFireTruck” использует неизвестную технику кодирования, чтобы скрыть истинную цель кода.
• Скомпрометированные веб-сайты перенаправляют пользователей, приходящих из поисковых систем, на вредоносные ссылки, которые могут распространять вредоносное ПО или мошенничество.
• Почти 270 000 веб-страниц были зарегистрированы как зараженные в период с марта по апрель 2025 года, с резким скачком в середине апреля.
• Для условной переадресации пользователей на мошеннические сайты, такие как поддельные обновления браузера и криптовалютные мошенничества, используется отдельный сервис HelloTDS. Эксперты в области кибербезопасности сообщили о масштабной атаке, заражающей легитимные веб-сайты скрытым кодом JavaScript. Кампания активно перенаправляет пользователей на опасные страницы, если они приходят с популярных поисковых систем, увеличивая риск заражения вредоносным ПО или мошенничества.

• Реклама - Исследования Palo Alto Networks Unit 42 выявили 269,552 веб-страницы, зараженные зашифрованным JavaScript с 26 марта по 25 апреля 2025 года. В один день апреля было более 50,000 скомпрометированных страниц. Небезопасный код основывается на методе, известном как “JSFuck”, подходе, который позволяет писать программы, используя всего несколько символов, чтобы усложнить обнаружение и анализ.

Согласно исследователям безопасности Хардику Шаху, Бреду Дункану и Пранаю Кумару Чхапарвалу, команда заметила, что на нескольких сайтах содержится вредоносный JavaScript, использующий уникальную технику под названием JSFireTruck. Внедренный код проверяет, приходят ли посетители из поисковых систем, таких как Google, Bing, DuckDuckGo, Yahoo! или AOL. Если это так, он перенаправляет их на вредоносные веб-сайты, которые могут доставлять вредоносные программы, наборы эксплойтов или мошеннические объявления. “Обфускация кода скрывает его истинное назначение, затрудняя анализ,” объяснили авторы. Широкое распространение инфекций предполагает скоординированные усилия по использованию реальных веб-сайтов в качестве инструментов для дальнейших атак.

Отчет также подчеркивает появление “HelloTDS”, службы распределения трафика, которая выбирает, какой обман показать жертве на основе деталей их устройства. Gen Digital описала, как HelloTDS предоставляет фальшивые CAPTCHA-загадки, мошенничество с технической поддержкой, поддельные обновления браузера и криптовалютные мошенничества, используя код JavaScript, размещенный на удаленных сайтах. Жертвы отбираются на основе информации, такой как их местоположение, IP-адрес и поведение в браузере. Если пользователь не соответствует определенным условиям атаки, код перенаправляет их к безопасному контенту.

Исследователи Войтех Крейса и Милан Шпинка отметили, что злоумышленники часто маскируют свою деятельность на стриминговых сайтах, платформах обмена файлами или через вредоносные объявления. Некоторые схемы используют обманчивые вопросы, чтобы заставить пользователей запустить вредоносное программное обеспечение, такое как PEAKLIGHT, которое известно тем, что крадет конфиденциальную информацию.

Инфраструктура, поддерживающая HelloTDS, в основном использует общие доменные зоны, такие как .top, .shop и .com, для размещения вредоносного кода. Кампании используют продвинутые тактики, такие как отпечатки браузеров и смена доменов, чтобы избежать обнаружения, что усложняет блокировку атак средствами безопасности.

Для получения дополнительной информации смотрите оригинальный анализ от Palo Alto Networks Unit 42 здесь, а также детали Gen Digital о HelloTDS здесь. Информацию о технике JSFuck можно найти по этой ссылке.

• Реклама - #### Предыдущие статьи:

• Amazon, Walmart рассматривают стейблкоины в связи с голосованием по закону GENIUS в Сенате
• Криптовалюта выходит на мейнстрим: казино, платежи и глобальный рост
• Биткойн обрушился после столкновения Израиля и Ирана, рынки ожидают обновлений от Белого дома
• Индекс CoinDesk 20 упал на 4,4%, сегодня нет активов в плюсе
• Don Quijote Parent PPIH запускает цифровые облигации, ориентированные на молодежь

• Реклама -