JSFireTruck и HelloTDS: новая инфраструктура веб-атак через легитимные домены

[Artifact]

Злоумышленники взломали более 260 тысяч легитимных сайтов, внедрив в них вредоносный JavaScript -код, замаскированный под невинную цепочку символов. Обнаруженная специалистами Palo Alto Networks массовая кампания началась в конце марта и резко усилилась в середине апреля. Главная цель — перенаправление пользователей на вредоносные ресурсы через заражённые страницы, особенно если переход совершается из поисковиков.



Для сокрытия истинного назначения скриптов используется необычный стиль кодирования под названием JSFuck — он позволяет писать полноценные программы, используя только шесть символов: [, ], +, $, {, }. Команда Unit 42 предложила менее вызывающие название — JSFireTruck, намекая на характер кода. Такая обфускация серьёзно затрудняет анализ и позволяет скриптам долгое время оставаться незамеченными.



Инфицированный код отслеживает, с какого ресурса перешёл пользователь. Если это поисковик вроде Google, Bing или DuckDuckGo, то посетитель автоматически перенаправляется на внешние сайты с потенциально вредоносным содержанием. Эти страницы могут содержать эксплойты, вредоносное ПО, фальшивые обновления браузера, а также использовать трафик в схемах монетизации и малвертайзинга .



Пик активности этой кампании пришёлся на 12 апреля — только за один день было зафиксировано более 50 тысяч заражённых веб-страниц. Всего за месяц в поле зрения системы телеметрии Palo Alto Networks попали почти 270 тысяч инфицированных URL.



Параллельно была зафиксирована ещё одна опасная активность — новая система распределения трафика ( TDS ) под названием HelloTDS, обнаруженная специалистами Gen Digital. Эта платформа ориентирована на выборочное перенаправление пользователей в зависимости от их IP-адреса, геолокации, характеристик браузера и устройства. HelloTDS сначала анализирует посетителя и лишь затем решает, показать ли ему фейковую CAPTCHA, техподдержку, якобы обновление браузера или другую уловку.



Если пользователь не подходит под параметры, его перенаправляют на безвредную страницу — такая стратегия помогает злоумышленникам избегать обнаружения. Особенно часто в качестве стартовых точек атак использовались ресурсы со стриминговым контентом, сайты обмена файлами и рекламные сети, в которых была размещена вредоносная JavaScript-нагрузка.



Некоторые цепочки атак приводили к установке вредоносной программы PEAKLIGHT , также известной как Emmenhtal Loader. Этот загрузчик используется для доставки на устройства шпионских программ вроде Lumma — они собирают данные из браузеров, крадут пароли и криптокошельки.



Поддержка инфраструктуры HelloTDS строится на динамически генерируемых доменах верхнего уровня .top, .shop и .com. С их помощью и осуществляется управление кодом и перенаправлениями. Помимо внешней маскировки под легальные сайты, такие платформы специально снабжаются скриптами, распознающими VPN, эмуляторы браузеров и исследовательские среды, чтобы блокировать доступ специалистам по безопасности и избегать раскрытия.



Масштабность, мимикрия под легитимные страницы и изощрённые методы фильтрации делают кампании на базе JSFireTruck и HelloTDS особенно опасными — как для обычных пользователей, так и для владельцев скомпрометированных ресурсов.



@ SecurityLab.ru