Los investigadores de ciberseguridad están llamando la atención sobre una “campaña a gran escalera” que se ha observado comprometiendo sitios web legítimos con inyecciones de JavaScript maliciosas.
Según la Mecanismo 42 de Palo Detención Networks, estos inyecciones maliciosas se ofusen usando JSFuck, que se refiere a un “estilo de programación esotérico y educativo” que usa solo un conjunto acotado de caracteres para escribir y ejecutar código.
La compañía de seguridad cibernética le ha transmitido a la técnica un nombre alterno jsfiretruck oportuno a las blasfemias involucradas.
“Se han identificado múltiples sitios web con JavaScript astuto inyectado que utiliza la ofuscación JSFiretruck, que se compone principalmente de los símbolos (,), +, $, {y}”, dijeron los investigadores de seguridad Hardik Shah, Brad Duncan y Pranay Kumar Chhaparwal. “La ofuscación del código oculta su definitivo propósito, obstaculizando el prospección”.
Un prospección posterior ha determinado que el código inyectado está diseñado para compulsar el referente del sitio web (“document.referrer”), que identifica la dirección de la página web desde la cual se originó una solicitud.
Si el referente es un motor de búsqueda como Google, Bing, Duckduckgo, Yahoo!, O AOL, el código JavaScript redirige a las víctimas a las URL maliciosas que pueden entregar malware, hazañas, monetización de tráfico y malvertición.
La mecanismo 42 dijo que su telemetría descubrió 269,552 páginas web que se han infectado con el código JavaScript utilizando la técnica JSFiretruck entre el 26 de marzo y el 25 de abril de 2025.
“La escalera y el sigilo de la campaña representan una amenaza significativa”, dijeron los investigadores. “La naturaleza generalizada de estas infecciones sugiere un esfuerzo coordinado para comprometer sitios web legítimos como vectores de ataque para nuevas actividades maliciosas”.
Besalamano a Hellotds
El explicación se produce cuando Gen Digital eliminó las envolturas de un sofisticado servicio de distribución de tráfico (TDS) llamado Hellotds que está diseñado para redirigir condicionalmente a los visitantes del sitio a páginas falsas de Captcha, estafas de soporte técnico, actualizaciones de navegador falsas, extensiones no deseadas del navegador y estafadores de criptomonedas a través de los códigos de javascrito remotos inyectados en los sitios.
El objetivo principal del TDS es comportarse como una puerta de enlace, determinando la naturaleza exacta del contenido que se entregará a las víctimas posteriormente de hacer huellas digitales sus dispositivos. Si el adjudicatario no se considera un objetivo adecuado, la víctima se redirige a una página web benigna.
“Los puntos de entrada de la campaña son sitios web de transmisión infectados o de otro tipo controlados por los atacantes, los servicios para compartir archivos, así como las campañas malvertidas”, dijeron los investigadores VOJTěCH Krejsa y Milan Špinka en un referencia publicado este mes.
“Las víctimas se evalúan en función de la geolocalización, la dirección IP y las huellas digitales del navegador; por ejemplo, se detectan y rechazan las conexiones a través de VPN o navegadores sin capital”.
Se ha enemigo que algunos de estos cadenas de ataque sirven a las páginas Captcha falsas que aprovechan la logística de ClickFix para engañar a los usuarios para que ejecutaran código astuto e infecten sus máquinas con un malware conocido como Peaklight (incluso conocido como Loader Emmenhtal), que se sabe que es servidor de robos de información como Lumma.
La infraestructura central de Hellotds es el uso de dominios de nivel superior .top, .shop y .com que se utilizan para meter el código JavaScript y activar las redirecciones posteriormente de un proceso de huellas dactilares en varias etapas diseñados para compendiar información de red y navegador.
“La infraestructura de Hellotds detrás de las campañas falsas de Captcha demuestra cómo los atacantes continúan refinando sus métodos para evitar las protecciones tradicionales, sortear la detección y apuntar selectivamente a las víctimas”, dijeron los investigadores.
“Al explotar las huellas dactilares sofisticadas, la infraestructura de dominio dinámico y las tácticas de disimulo (como imitar sitios web legítimos y servir contenido clemente a los investigadores) estas campañas logran el sigilo y la escalera”.
