изображение: recraft
Специалисты подразделения Unit 42 компании Palo Alto Networks зафиксировали масштабную вредоносную кампанию, нацеленную на легитимные веб-ресурсы. За период с 26 марта по 25 апреля 2025 года злоумышленникам удалось внедрить вредоносный JavaScript-код более чем на 269 тыс. страниц. По мнению исследователей, активность носит спланированный и массовый характер.
Основу вредоносной инъекции составляет особая техника обфускации, получившая неофициальное название JSFireTruck. Её особенностью является использование стиля программирования JSFuck, при котором код пишется с применением ограниченного набора символов: [, ], +, $, {, }. Это затрудняет как статический, так и поведенческий анализ вредоносного кода. Исследователи Хардик Шах, Брэд Дункан и Прана́й Кумар Чхапарвал отметили, что обфускация успешно скрывает назначение скрипта, делая его незаметным для большинства защитных систем.
Анализ показал, что вредоносный код отслеживает значение document.referrer, проверяя, с какого сайта перешёл пользователь. Если это поисковая система — Google, Bing, DuckDuckGo, Yahoo! или AOL, — жертва автоматически перенаправляется на вредоносные ресурсы. На этих сайтах происходит загрузка дополнительного вредоносного ПО, попытки эксплуатации уязвимостей или монетизация трафика через агрессивную рекламу.
Сильнейший всплеск активности пришёлся на 12 апреля — только за сутки специалисты зафиксировали более 50 тыс. заражённых страниц. По данным телеметрии Unit 42, заражения охватили самые разные категории сайтов, от корпоративных до медийных и развлекательных, что говорит о масштабной автоматизированной атаке.
Эксперты подчёркивают, что использование легитимных платформ в качестве промежуточного звена делает атаку особенно опасной. Пользователи, переходящие с поисковиков, чаще всего доверяют сайту, на который попадают, и не подозревают о подмене. Это создаёт удобный канал доставки вредоносного ПО без использования фишинга или взлома конечного устройства.
Исследователи Unit 42 призывают администраторов сайтов регулярно проверять исходный код на наличие инъекций и отслеживать подозрительные изменения. Масштаб заражения и изощрённость JSFireTruck позволяют говорить о скоординированной операции, направленной на массовое распространение угроз через инфраструктуру доверенных сайтов.
Оригинал публикации на сайте CISOCLUB: "Более 269 тыс. сайтов оказались заражены вредоносным JavaScript-кодом JSFireTruck, маскирующим атаки через поисковые системы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.