16/06/25
Злоумышленники взломали более 260 тысяч сайтов, внедрив в них вредоносный JavaScript -код, замаскированный под невинную цепочку символов. Обнаруженная специалистами Palo Alto Networks массовая кампания началась в конце марта и резко усилилась в середине апреля, согласно Securitylab. Главная цель — перенаправление пользователей на вредоносные ресурсы через заражённые страницы, особенно если переход совершается из поисковиков.
Для сокрытия истинного назначения скриптов используется необычный стиль кода под названием JSFuck — он позволяет писать полноценные программы, используя только шесть символов:[, ], +, $, {, }. Команда Unit 42 предложила менее вызывающие название — JSFireTruck, намекая на характер кода. Такая обфускация серьёзно затрудняет анализ и позволяет скриптам долгое время оставаться незамеченными.
Заражённый код отслеживает, с какого ресурса перешёл пользователь. Если это поисковик вроде Google, Bing или DuckDuckGo, то посетитель автоматически перенаправляется на внешние сайты с потенциально вредоносным содержанием. Эти страницы могут содержать эксплойты, вредоносное ПО, фальшивые обновления браузера, а также использовать трафик в схемах монетизации и малвертайзинга.
Вершина деятельности этой кампании пришлась на 12 апреля — только за один день было зафиксировано более 50 тысяч заражённых веб-страниц. Всего за месяц в поле зрения системы телеметрии Palo Alto Networks попали почти 270 тысяч инфицированных URL.
Параллельно была зафиксирована ещё одна опасная активность — новая система распределения трафика (TDS) под названием HelloTDS, обнаруженная специалистами Gen Digital. Эта платформа ориентирована на выборочное перенаправление пользователей в зависимости от их IP-адреса, геолокации, характеристик браузера и устройства. HelloTDS сначала анализирует посетителя и лишь затем решает, показать ли ему фейковую CAPTCHA, техподдержку, якобы обновление браузера или другую уловку.
Если пользователь не подходит под установки, его перенаправляют на безвредную страницу — такая стратегия помогает злоумышленникам избегать обнаружения. Особенно часто в качестве стартовых точек атак использовались ресурсы со стриминговым контентом, сайты обмена файлами и рекламные сети, в которых была размещена вредоносная JavaScript-нагрузка.
Некоторые цепочки атак приводили к установке вредоносной программы PEAKLIGHT, также известной как Emmenhtal Loader. Этот загрузчик используется для доставки на устройства шпионских программ вроде Lumma — они собирают данные из браузеров, крадут пароли и криптокошельки.
Поддержка инфраструктуры HelloTDS строится на постоянно создаваемых доменах верхнего уровня .top, .shop и .com. С их помощью и осуществляется управление кодом и перенаправлениями. Помимо внешней маскировки под обычные сайты, такие платформы специально снабжаются программами, распознающими VPN, поисковики и исследовательские среды, чтобы блокировать доступ специалистам по безопасности и избегать раскрытия.
