Недавно специалисты по кибербезопасности выявили масштабную кампанию, в ходе которой злоумышленники внедряют запутанный JavaScript-код на легитимные веб-сайты. Этот метод обфускации, получивший название JSFireTruck, применяется для скрытого перенаправления пользователей на вредоносные ресурсы с целью распространения вредоносных программ, эксплуатации уязвимостей и рассылки спама.
Особенности метода JSFireTruck
Отличительной чертой JSFireTruck является использование необычной техники запутывания кода, которая:
- использует ограниченный набор символов — преимущественно + и ${};
- обеспечивает скрытие реального назначения скрипта и затрудняет его анализ;
- опирается на механизм приведения типов в JavaScript для создания исполняемого кода из простых символов;
- имитирует поведение и структуру более раннего метода Jjencode, но с повышенной эффективностью.
Вредоносный скрипт анализирует источник входящего трафика и при обнаружении, что пользователь пришёл из поисковой системы, автоматически перенаправляет его на токсичные URL.
Масштабы заражения и последствия
По данным телеметрии, в течение всего одного месяца более 269 000 веб-страниц подверглись заражению через JSFireTruck, что свидетельствует о широком и скоординированном характере атаки.
Кроме того, анализ кода показал, что внедрённый JavaScript использует перенаправление через iframe. Этот iframe:
- накладывается поверх основного контента страницы;
- фиксирует взаимодействие пользователя;
- скрывает исходный материал, тем самым облегчая фишинг и перехват кликов.
Адаптивность механизма позволяет злоумышленникам перенастраивать перенаправление в зависимости от типа реферера, повышая шансы успешного заражения именно пользователей поисковых систем.
Реакция индустрии и методы защиты
Эксперты подчеркивают, что данная кампания — пример того, как легитимные сайты могут стать невольными участниками вредоносной экосистемы, что требует постоянного совершенствования средств защиты.
Для снижения угрозы используются:
- расширенная фильтрация URL-адресов;
- методы машинного обучения для упреждающего обнаружения обфусцированного JavaScript;
- комплексные системы мониторинга веб-трафика и поведения скриптов.
Только интеграция этих технологий и своевременное обновление механизмов безопасности помогут защитить конечных пользователей от всё более изощрённых атак с использованием современных методов обфускации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кампания JSFireTruck: скрытые угрозы через обфусцированный JavaScript".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.