Pesquisadores em cibersegurança estão alertando para uma "campanha de grande escala" que foi observada comprometendo sites legítimos com injeções maliciosas de JavaScript.
De acordo com a Unidade 42 da Palo Alto Networks, essas injeções maliciosas são ofuscadas usando JSFuck, que se refere a um "estilo de programação esotérico e educativo" que usa apenas um conjunto limitado de caracteres para escrever e executar código.
A empresa de cibersegurança deu à técnica um nome alternativo, JSFireTruck, devido à profanidade envolvida.
"Vários sites foram identificados com JavaScript malicioso injetado que usa a ofuscação JSFireTruck, composta principalmente pelos símbolos [, ], +, $, { e },", disseram os pesquisadores de segurança Hardik Shah, Brad Duncan e Pranay Kumar Chhaparwal.
A ofuscação do código esconde seu verdadeiro propósito, dificultando a análise.
Análises adicionais determinaram que o código injetado foi projetado para verificar o referenciador do site ("document.referrer"), que identifica o endereço da página da web da qual uma solicitação se originou.
Caso o referenciador seja um motor de busca como Google, Bing, DuckDuckGo, Yahoo! ou AOL, o código JavaScript redireciona vítimas para URLs maliciosas que podem entregar malware, exploits, monetização de tráfego e malvertising.
A Unidade 42 disse que sua telemetria descobriu 269.552 páginas da web infectadas com código JavaScript usando a técnica JSFireTruck entre 26 de março e 25 de abril de 2025.
Um pico na campanha foi registrado pela primeira vez em 12 de abril, quando mais de 50.000 páginas infectadas foram observadas em um único dia.
"A escala e a discrição da campanha representam uma ameaça significativa", disseram os pesquisadores.
"A natureza generalizada dessas infecções sugere um esforço coordenado para comprometer sites legítimos como vetores de ataque para atividades maliciosas posteriores." Diga Olá ao HelloTDS O desenvolvimento surge quando a Gen Digital revelou um sofisticado Serviço de Distribuição de Tráfego (TDS) chamado HelloTDS que é projetado para redirecionar condicionalmente os visitantes do site para páginas de CAPTCHA falsas, golpes de suporte técnico, atualizações falsas de navegador, extensões indesejadas de navegador e golpes de criptomoedas por meio de código JavaScript hospedado remotamente injetado nos sites.
O objetivo principal do TDS é atuar como um gateway, determinando a natureza exata do conteúdo a ser entregue às vítimas após o fingerprinting de seus dispositivos.
Se o usuário não for considerado um alvo adequado, a vítima é redirecionada para uma página da web benigna.
"Os pontos de entrada da campanha são sites de streaming infectados ou controlados por atacantes, serviços de compartilhamento de arquivos, bem como campanhas de malvertising", disseram os pesquisadores Vojtěch Krejsa e Milan Špinka em um relatório publicado este mês.
As vítimas são avaliadas com base em geolocalização, endereço IP e fingerprinting do navegador; por exemplo, conexões por meio de VPNs ou navegadores headless são detectadas e rejeitadas. Algumas dessas cadeias de ataque foram encontradas para servir páginas de CAPTCHA falsas que aproveitam a estratégia ClickFix para enganar os usuários a executar código malicioso e infectar suas máquinas com um malware conhecido como PEAKLIGHT (conhecido também como Emmenhtal Loader), que é conhecido por servir ladrões de informações como Lumma.
Central para a infraestrutura HelloTDS é o uso de domínios de nível superior .top, .shop e .com que são usados para hospedar o código JavaScript e acionar os redirecionamentos após um processo de fingerprinting em várias etapas projetado para coletar informações de rede e navegador.
"A infraestrutura HelloTDS por trás das campanhas de CAPTCHA falsas demonstra como os atacantes continuam a refinar seus métodos para contornar proteções tradicionais, evadir detecção e selecionar vítimas de maneira seletiva", disseram os pesquisadores.
"Aproveitando o fingerprinting sofisticado, infraestrutura dinâmica de domínio e táticas de engano (como imitar sites legítimos e servir conteúdo benigno para pesquisadores), essas campanhas alcançam tanto a discrição quanto a escala."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...