Los investigadores de ciberseguridad están llamando la atención sobre una «campaña a gran escalera» que se ha observado comprometiendo sitios web legítimos con inyecciones de JavaScript maliciosas.
Según la Pelotón 42 de Palo Stop Networks, estos inyecciones maliciosas se ofusen usando JSFuck, que se refiere a un «estilo de programación esotérico y educativo» que usa solo un conjunto escaso de caracteres para escribir y ejecutar código.
La compañía de seguridad cibernética le ha hexaedro a la técnica un nombre opcional jsfiretruck oportuno a las blasfemias involucradas.
«Se han identificado múltiples sitios web con JavaScript receloso inyectado que utiliza la ofuscación JSFiretruck, que se compone principalmente de los símbolos (,), +, $, {y}», dijeron los investigadores de seguridad Hardik Shah, Brad Duncan y Pranay Kumar Chhaparwal. «La ofuscación del código oculta su seguro propósito, obstaculizando el disección».
Un disección posterior ha determinado que el código inyectado está diseñado para revisar el referente del sitio web («document.referrer»), que identifica la dirección de la página web desde la cual se originó una solicitud.
Si el referente es un motor de búsqueda como Google, Bing, Duckduckgo, Yahoo!, O AOL, el código JavaScript redirige a las víctimas a las URL maliciosas que pueden entregar malware, hazañas, monetización de tráfico y malvertición.
La dispositivo 42 dijo que su telemetría descubrió 269,552 páginas web que se han infectado con el código JavaScript utilizando la técnica JSFiretruck entre el 26 de marzo y el 25 de abril de 2025.
«La escalera y el sigilo de la campaña representan una amenaza significativa», dijeron los investigadores. «La naturaleza generalizada de estas infecciones sugiere un esfuerzo coordinado para comprometer sitios web legítimos como vectores de ataque para nuevas actividades maliciosas».
Besalamano a Hellotds
El exposición se produce cuando Gen Digital eliminó las envolturas de un sofisticado servicio de distribución de tráfico (TDS) llamado Hellotds que está diseñado para redirigir condicionalmente a los visitantes del sitio a páginas falsas de Captcha, estafas de soporte técnico, actualizaciones de navegador falsas, extensiones no deseadas del navegador y estafadores de criptomonedas a través de los códigos de javascrito remotos inyectados en los sitios.
El objetivo principal del TDS es proceder como una puerta de enlace, determinando la naturaleza exacta del contenido que se entregará a las víctimas a posteriori de hacer huellas digitales sus dispositivos. Si el beneficiario no se considera un objetivo adecuado, la víctima se redirige a una página web benigna.
«Los puntos de entrada de la campaña son sitios web de transmisión infectados o de otro tipo controlados por los atacantes, los servicios para compartir archivos, así como las campañas malvertidas», dijeron los investigadores VOJTěCH Krejsa y Milan Špinka en un noticia publicado este mes.
«Las víctimas se evalúan en función de la geolocalización, la dirección IP y las huellas digitales del navegador; por ejemplo, se detectan y rechazan las conexiones a través de VPN o navegadores sin inicio».
Se ha antagónico que algunos de estos cadenas de ataque sirven a las páginas Captcha falsas que aprovechan la organización de ClickFix para engañar a los usuarios para que ejecutaran código receloso e infecten sus máquinas con un malware conocido como Peaklight (incluso conocido como Loader Emmenhtal), que se sabe que es servidor de robos de información como Lumma.
La infraestructura central de Hellotds es el uso de dominios de nivel superior .top, .shop y .com que se utilizan para introducir el código JavaScript y activar las redirecciones a posteriori de un proceso de huellas dactilares en varias etapas diseñados para compilar información de red y navegador.
«La infraestructura de Hellotds detrás de las campañas falsas de Captcha demuestra cómo los atacantes continúan refinando sus métodos para evitar las protecciones tradicionales, evitar la detección y apuntar selectivamente a las víctimas», dijeron los investigadores.
«Al beneficiarse las huellas dactilares sofisticadas, la infraestructura de dominio dinámico y las tácticas de farsa (como imitar sitios web legítimos y servir contenido amable a los investigadores) estas campañas logran el sigilo y la escalera».
