<div id="post_message_797318">

Злоумышленники взломали более 260 тысяч легитимных сайтов, внедрив в них вредоносный <a href="https://www.securitylab.ru/news/557106.php" target="_blank">JavaScript </a>-код, замаскированный под невинную цепочку символов. Обнаруженная специалистами Palo Alto Networks массовая кампания началась в конце марта и резко усилилась в середине апреля. Главная цель — перенаправление пользователей на вредоносные ресурсы через заражённые страницы, особенно если переход совершается из поисковиков.<br/>
<br/>
Для сокрытия истинного назначения скриптов используется необычный стиль кодирования под названием JSFuck — он позволяет писать полноценные программы, используя только шесть символов: <i><b><font color="Silver">[, ], +, $, {, }</font></b></i>. Команда Unit 42 <a href="https://unit42.paloaltonetworks.com/malicious-javascript-using-jsfiretruck-as-obfuscation/" target="_blank">предложила </a>менее вызывающие название — JSFireTruck, намекая на характер кода. Такая <a href="https://www.securitylab.ru/analytics/552204.php" target="_blank">обфускация </a>серьёзно затрудняет анализ и позволяет скриптам долгое время оставаться незамеченными.<br/>
<br/>
Инфицированный код отслеживает, с какого ресурса перешёл пользователь. Если это поисковик вроде Google, Bing или DuckDuckGo, то посетитель автоматически перенаправляется на внешние сайты с потенциально вредоносным содержанием. Эти страницы могут содержать эксплойты, вредоносное ПО, фальшивые обновления браузера, а также использовать трафик в схемах монетизации и <a href="https://www.securitylab.ru/news/543826.php" target="_blank">малвертайзинга </a>.<br/>
<br/>
Пик активности этой кампании пришёлся на 12 апреля — только за один день было зафиксировано более 50 тысяч заражённых веб-страниц. Всего за месяц в поле зрения системы телеметрии Palo Alto Networks попали почти 270 тысяч инфицированных URL.<br/>
<br/>
Параллельно <a href="https://www.gendigital.com/blog/insights/research/inside-hellotds-malware-network" target="_blank">была зафиксирована</a> ещё одна опасная активность — новая система распределения трафика ( TDS ) под названием HelloTDS, обнаруженная специалистами Gen Digital. Эта платформа ориентирована на выборочное перенаправление пользователей в зависимости от их IP-адреса, геолокации, характеристик браузера и устройства. HelloTDS сначала анализирует посетителя и лишь затем решает, показать ли ему фейковую CAPTCHA, техподдержку, якобы обновление браузера или другую уловку.<br/>
<br/>
Если пользователь не подходит под параметры, его перенаправляют на безвредную страницу — такая стратегия помогает злоумышленникам избегать обнаружения. Особенно часто в качестве стартовых точек атак использовались ресурсы со стриминговым контентом, сайты обмена файлами и рекламные сети, в которых была размещена вредоносная JavaScript-нагрузка.<br/>
<br/>
Некоторые цепочки атак приводили к установке вредоносной программы <a href="https://www.securitylab.ru/news/555329.php" target="_blank">PEAKLIGHT </a>, также известной как Emmenhtal Loader. Этот загрузчик используется для доставки на устройства шпионских программ вроде Lumma — они собирают данные из браузеров, крадут пароли и криптокошельки.<br/>
<br/>
Поддержка инфраструктуры HelloTDS строится на динамически генерируемых доменах верхнего уровня .top, .shop и .com. С их помощью и осуществляется управление кодом и перенаправлениями. Помимо внешней маскировки под легальные сайты, такие платформы специально снабжаются скриптами, распознающими VPN, эмуляторы браузеров и исследовательские среды, чтобы блокировать доступ специалистам по безопасности и избегать раскрытия.<br/>
<br/>
Масштабность, мимикрия под легитимные страницы и изощрённые методы фильтрации делают кампании на базе JSFireTruck и HelloTDS особенно опасными — как для обычных пользователей, так и для владельцев скомпрометированных ресурсов.<br/>
<br/>
<a href="https://www.securitylab.ru/news/560378.php" target="_blank">@ SecurityLab.ru </a>
</div>