Атака JSFireTruck на JavaScript інфікує понад 269 000 веб-сторінок у 2025 році

ГоловнаНовини* Дослідники виявили широку кампанію, що використовує затемнений JavaScript для зараження легітимних веб-сайтів.

• Кампанія, названа “JSFireTruck”, використовує маловідому техніку кодування, щоб приховати справжню мету коду.
• Скомпрометовані веб-сайти перенаправляють користувачів, які приходять з пошукових систем, на шкідливі посилання, які можуть доставити шкідливе ПЗ або шахрайство.
• Майже 270 000 веб-сторінок були зафіксовані як заражені між березнем та квітнем 2025 року, з великим сплеском у середині квітня.
• Окрема служба, HelloTDS, використовується для умовного перенаправлення користувачів на шахрайства, такі як фальшиві оновлення браузера та шахрайства з криптовалютами. Експерти з кібербезпеки повідомили про масштабну атаку, що інфікує легітимні веб-сайти прихованим JavaScript-кодом. Кампанія активно перенаправляє користувачів на небезпечні сторінки, якщо вони приходять з популярних пошукових систем, підвищуючи ризик зараження шкідливим програмним забезпеченням або шахрайства.

• Реклама - Дослідження Palo Alto Networks Unit 42 виявило 269 552 веб-сторінки, інфіковані обфусцированим JavaScript, між 26 березня та 25 квітня 2025 року. Один день у квітні показав понад 50 000 зламаних сторінок. Небезпечний код покладається на метод, відомий як “JSFuck”, підхід, який пише програми, використовуючи лише кілька символів, щоб ускладнити виявлення та аналіз.

За словами дослідників безпеки Хардіка Шаха, Бреда Дункана та Праная Кумара Чхапарвала, команда помітила, що кілька сайтів містили шкідливий JavaScript за допомогою унікальної техніки під назвою JSFireTruck. Введений код перевіряє, чи приходять відвідувачі з пошукових систем, таких як Google, Bing, DuckDuckGo, Yahoo! або AOL. Якщо вони це роблять, він перенаправляє їх на шкідливі веб-сайти, які можуть доставляти зловмисне програмне забезпечення, набори для експлойтів або шахрайську рекламу. «Заплутування коду приховує його справжнє призначення, перешкоджаючи аналізу», — пояснили автори. Широко поширені інфекції свідчать про скоординовані зусилля з використання реальних веб-сайтів як інструментів для подальших атак.

Звіт також підкреслює появу “HelloTDS”, Служби Розподілу Трафіку, яка обирає, який шахрайський контент показати жертві на основі деталей їхнього пристрою. Gen Digital описала, як HelloTDS постачає фальшиві CAPTCHA-загадки, шахрайства з технічною підтримкою, фальшиві оновлення браузера та шахрайство з криптовалютою, використовуючи JavaScript-код, розміщений на віддалених сайтах. Жертви перевіряються за допомогою такої інформації, як їхнє місцезнаходження, IP-адреса та поведінка браузера. Якщо користувач не відповідає певним умовам атаки, код перенаправляє їх на безпечний контент.

Дослідники Войтех Крейса та Мілан Шпінка зазначили, що зловмисники часто маскують свою діяльність на потокових сайтах, платформах обміну файлами або через шкідливу рекламу. Деякі схеми використовують обманливі запитання, щоб змусити користувачів запустити шкідливе програмне забезпечення, таке як PEAKLIGHT, яке відоме тим, що викрадає чутливу інформацію.

Інфраструктура, що підтримує HelloTDS, в основному використовує загальні доменні зони, такі як .top, .shop і .com, для розміщення шкідливого коду. Кампанії включають передові тактики, такі як відбитки браузера і перемикання доменів для уникнення виявлення, що ускладнює блокування атак засобами безпеки.

Детальніше дивіться в оригінальному аналізі Palo Alto Networks Unit 42 тут та деталі Gen Digital про HelloTDS тут. Інформацію про техніку JSFuck можна знайти в цьому ресурсі.

• Реклама - #### Попередні статті:

• Amazon, Walmart розглядають стейблкоїни, оскільки закон GENIUS має бути проголосований у Сенаті
• Криптовалюта стає мейнстрімом: Казино, платежі та глобальний ріст
• Біткойн різко падає після зіткнення між Ізраїлем та Іраном, ринки чекають оновлень від Білого дому
• Індекс CoinDesk 20 впав на 4,4%, сьогодні немає активів у зеленому
• Don Quijote Parent PPIH запускає цифрові облігації, орієнтовані на молодь

• Реклама -