Redazione RHC : 14 Giugno 2025 08:17
Gli aggressori hanno violato oltre 260.000 siti web legittimi iniettandovi codice JavaScript dannoso, mascherato da una stringa di caratteri innocente. La campagna di massa, scoperta dagli specialisti di Palo Alto Networks, è iniziata a fine marzo e si è intensificata notevolmente a metà aprile. L’obiettivo principale è reindirizzare gli utenti a risorse dannose attraverso pagine infette, soprattutto se la transizione avviene dai motori di ricerca.
Per nascondere il vero scopo degli script, viene utilizzato uno stile di programmazione insolito chiamato JSFuck , che consente di scrivere programmi completi utilizzando solo sei caratteri: [, ], +, $, {, }. Il team di Unit 42 ha suggerito un nome meno provocatorio: JSFireTruck, che allude alla natura del codice. Tale offuscamento complica seriamente l’analisi e consente agli script di rimanere inosservati per lungo tempo.
Il codice infetto traccia la risorsa da cui proviene l’utente. Se si tratta di un motore di ricerca come Google, Bing o DuckDuckGo, il visitatore viene automaticamente reindirizzato a siti esterni con contenuti potenzialmente dannosi. Queste pagine possono contenere exploit, malware, falsi aggiornamenti del browser e utilizzare il traffico per scopi di monetizzazione e malvertising.
 Cybersecurity Awareness per la tua azienda? Scopri BETTI RHC!Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel, l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Scopri di più sul corso a fumetti di Red Hot Cyber. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La campagna ha raggiunto il picco il 12 aprile, con oltre 50.000 pagine web infette registrate in un solo giorno. In un solo mese, il sistema di telemetria di Palo Alto Networks ha rilevato quasi 270.000 URL infetti. Parallelamente, è stata registrata un’altra attività pericolosa : un nuovo sistema di distribuzione del traffico (TDS) chiamato HelloTDS, scoperto dagli specialisti di Gen Digital.
Questa piattaforma si concentra sul reindirizzamento selettivo degli utenti in base al loro indirizzo IP, alla geolocalizzazione, alle caratteristiche del browser e del dispositivo. HelloTDS analizza innanzitutto il visitatore e solo in seguito decide se mostrargli un CAPTCHA falso, un’email di supporto tecnico, un presunto aggiornamento del browser o un altro trucchetto.
Se l’utente non soddisfa i parametri, viene reindirizzato a una pagina innocua: questa strategia aiuta gli aggressori a evitare di essere scoperti. Risorse di streaming, siti di file sharing e reti pubblicitarie che ospitano payload JavaScript dannosi sono stati spesso utilizzati come punti di lancio per gli attacchi.
Alcune catene di attacco hanno portato all’installazione del malware PEAKLIGHT, noto anche come Emmenhtal Loader. Questo loader viene utilizzato per distribuire infostealer come Lumma sui dispositivi, raccogliendo dati dai browser, rubando password e rubando criptovalute.
Il supporto dell’infrastruttura HelloTDS si basa sui domini di primo livello generati dinamicamente .top, .shop e .com. Questi vengono utilizzati per gestire codice e reindirizzamenti. Oltre a mascherarsi esternamente come siti legittimi, queste piattaforme sono dotate di script specifici che riconoscono VPN, emulatori di browser e ambienti di ricerca, al fine di bloccare l’accesso agli specialisti della sicurezza ed evitarne la divulgazione.
La portata, l’imitazione di pagine legittime e i sofisticati metodi di filtraggio rendono le campagne basate su JSFireTruck e HelloTDS particolarmente pericolose, sia per gli utenti comuni che per i proprietari di risorse compromesse.
RedazioneIl 15 ottobre 2025 segna un anniversario di eccezionale rilievo nella storia della sicurezza nazionale italiana: cento anni dalla nascita del Servizio Informazioni Militare (SIM), primo servizio di in...
Un nuovo post sul dark web offre l’accesso completo a migliaia di server e database MySQL appartenenti a provider italiani di hosting condiviso. Nelle ultime ore è apparso su un forum underground u...
Un grave incidente di sicurezza è stato segnalato da F5, principale fornitore di soluzioni per la sicurezza e la distribuzione delle applicazioni. Era stato ottenuto l’accesso a lungo termine ai si...
Un nuovo e insolito metodo di jailbreaking, ovvero l’arte di aggirare i limiti imposti alle intelligenze artificiali, è arrivato in redazione. A idearlo è stato Alin Grigoras, ricercatore di sicur...
Nel suo ultimo aggiornamento, il colosso della tecnologia ha risolto 175 vulnerabilità che interessano i suoi prodotti principali e i sistemi sottostanti, tra cui due vulnerabilità zero-day attivame...
