Los investigadores de ciberseguridad están prestando atención a las «grandes campañas» que socavan sitios web legítimos con inyecciones de JavaScript maliciosas.
Según la Unidad 42 de Palo Alto Networks, estas inyecciones maliciosas se ofuscan usando JSFuck. Esto se refiere a un «estilo de programación exorable y educativo» en el que el código se escribe y ejecuta utilizando solo un conjunto limitado de caracteres.
Las compañías de ciberseguridad han dado a la técnica un nombre alternativo para JSFiretruck para que se involucre la blasfemia.
«Se han identificado varios sitios web en JavaScript malicioso inyectado que usa la ofuscación JSFiretruck, que consiste principalmente en símbolos (,), +, $, {y}», dijeron los investigadores de seguridad Hardik Shah, Brad Duncan y Pranay Kumar Chhaparwal. «La ofuscación del código oculta su verdadero propósito y evita el análisis».
Un análisis posterior determinó que el código de inyección fue diseñado para verificar el referente del sitio web («document.referrer») que identifica la dirección de la página web en la que ocurrió la solicitud.
Los referentes son Google, Bing, Duckduckgo, Yahoo! o si se trata de un motor de búsqueda como AOL, el código JavaScript redirigirá a las víctimas a URL maliciosas que pueden proporcionar malware, exploits, monetización de tráfico y fraude.
La unidad 42 dijo que se descubrieron 269,552 páginas web que estaban infectadas con el código JavaScript utilizando la técnica JSFiretruck entre el 26 de marzo y el 25 de abril de 2025. El aumento de la campaña se registró el 12 de abril, cuando se registraron más de 50,000 páginas web infectadas en un día.
«El tamaño y el sigilo de la campaña representan una gran amenaza», dijo el investigador. «La naturaleza amplia de estas infecciones sugiere esfuerzos coordinados para comprometer los sitios web legítimos como un vector de ataque para nuevas actividades maliciosas».
Decir hellotds
Development is underway as Gen Digital has removed site visitors from fake Captcha pages, technical support scams, fake browser updates, unnecessary browser extensions, and sophisticated traffic delivery service (TDS), called HellotDS, designed to start a site using the site to start a site with fake Captcha pages, technical support scams, fake browser updates, unnecessary browser extensions, and Cryptocurrency Scams a través del código JavaScript con enrollado.
El objetivo principal de TDS es actuar como una puerta de enlace y determinar la naturaleza exacta del contenido entregado a la víctima después de las huellas dactilares del dispositivo. Si el usuario no se considera el objetivo apropiado, la víctima será redirigida a una página web benigna.
«Los puntos de entrada de la campaña son sitios web de transmisión fraudulentos o controlados por los atacantes, servicios para compartir archivos y campañas», dijeron los investigadores VOJTěCH Krejsa y Milan Sipinka en un informe publicado este mes.
«Las víctimas se evalúan en función de las huellas dactilares geográficas, de dirección IP y del navegador. Por ejemplo, las conexiones a través de una VPN o navegador sin cabeza serán detectadas y rechazadas».
Se sabe que algunas de estas cadenas de ataque aprovechan las estrategias de ClickFix para engañar a los usuarios en la ejecución del código malicioso y proporcionan páginas Captcha falsas que infectan a las máquinas con malware conocido como Peaklight (también conocido como el cargador Emmenhtal), conocido por los acero de información del servidor como Lumma.
El corazón de la infraestructura de Hellotds es el uso de dominios de nivel superior de .top, .shop y .com, que se utilizan para alojar el código JavaScript y activar redireccionamientos después de un proceso de dedos de varias etapas diseñado para recopilar información de red y navegador.
«La infraestructura de Hellotds detrás de la falsa campaña de Captcha muestra que los atacantes continúan mejorando la forma en que eluden las protecciones tradicionales, evitan la detección y apuntan selectivamente a las víctimas», dijeron los investigadores.
«Al aprovechar las huellas digitales sofisticadas, la infraestructura de dominio dinámico y las tácticas de engaño (como imitar sitios web legítimos y proporcionar contenido benigno a los investigadores), estas campañas logran el sigilo y la escala».
Source link
