Oltre 260.000 siti violati con un trucco JS: come funziona il devastante attacco JSFireTruck

Gli aggressori hanno violato oltre 260.000 siti web legittimi iniettandovi codice JavaScript dannoso, mascherato da una stringa di caratteri innocente. La campagna di massa, scoperta dagli specialisti di Palo Alto Networks, è iniziata a fine marzo e si è intensificata notevolmente a metà aprile. L’obiettivo principale è reindirizzare gli utenti a risorse dannose attraverso pagine infette, soprattutto se la transizione avviene dai motori di ricerca.

Per nascondere il vero scopo degli script, viene utilizzato uno stile di programmazione insolito chiamato JSFuck , che consente di scrivere programmi completi utilizzando solo sei caratteri: [, ], +, $, {, }. Il team di Unit 42 ha suggerito un nome meno provocatorio: JSFireTruck, che allude alla natura del codice. Tale offuscamento complica seriamente l’analisi e consente agli script di rimanere inosservati per lungo tempo.

Il codice infetto traccia la risorsa da cui proviene l’utente. Se si tratta di un motore di ricerca come Google, Bing o DuckDuckGo, il visitatore viene automaticamente reindirizzato a siti esterni con contenuti potenzialmente dannosi. Queste pagine possono contenere exploit, malware, falsi aggiornamenti del browser e utilizzare il traffico per scopi di monetizzazione e malvertising.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La campagna ha raggiunto il picco il 12 aprile, con oltre 50.000 pagine web infette registrate in un solo giorno. In un solo mese, il sistema di telemetria di Palo Alto Networks ha rilevato quasi 270.000 URL infetti. Parallelamente, è stata registrata un’altra attività pericolosa : un nuovo sistema di distribuzione del traffico (TDS) chiamato HelloTDS, scoperto dagli specialisti di Gen Digital.

Questa piattaforma si concentra sul reindirizzamento selettivo degli utenti in base al loro indirizzo IP, alla geolocalizzazione, alle caratteristiche del browser e del dispositivo. HelloTDS analizza innanzitutto il visitatore e solo in seguito decide se mostrargli un CAPTCHA falso, un’email di supporto tecnico, un presunto aggiornamento del browser o un altro trucchetto.

Se l’utente non soddisfa i parametri, viene reindirizzato a una pagina innocua: questa strategia aiuta gli aggressori a evitare di essere scoperti. Risorse di streaming, siti di file sharing e reti pubblicitarie che ospitano payload JavaScript dannosi sono stati spesso utilizzati come punti di lancio per gli attacchi.

Alcune catene di attacco hanno portato all’installazione del malware PEAKLIGHT, noto anche come Emmenhtal Loader. Questo loader viene utilizzato per distribuire infostealer come Lumma sui dispositivi, raccogliendo dati dai browser, rubando password e rubando criptovalute.

Il supporto dell’infrastruttura HelloTDS si basa sui domini di primo livello generati dinamicamente .top, .shop e .com. Questi vengono utilizzati per gestire codice e reindirizzamenti. Oltre a mascherarsi esternamente come siti legittimi, queste piattaforme sono dotate di script specifici che riconoscono VPN, emulatori di browser e ambienti di ricerca, al fine di bloccare l’accesso agli specialisti della sicurezza ed evitarne la divulgazione.

La portata, l’imitazione di pagine legittime e i sofisticati metodi di filtraggio rendono le campagne basate su JSFireTruck e HelloTDS particolarmente pericolose, sia per gli utenti comuni che per i proprietari di risorse compromesse.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.