Los investigadores de ciberseguridad están llamando la atención sobre una «campaña a gran escala» que se ha observado comprometiendo sitios web legítimos con inyecciones de JavaScript maliciosas.
Según la Unidad 42 de Palo Alto Networks, estos inyecciones maliciosas se ofuscan usando Jsfuckcual se refieren a un «estilo de programación esotérico y educativo» que usa solo un conjunto limitado de caracteres para escribir y ejecutar código.
La compañía de seguridad cibernética le ha dado a la técnica un nombre alternativo jsfiretruck debido a las blasfemias involucradas.
«Se han identificado múltiples sitios web con JavaScript malicioso inyectado que utiliza la ofuscación JSFiretruck, que se compone principalmente de los símbolos [, ]+, $, {y}, «Investigadores de seguridad Hardik Shah, Brad Duncan y Pranay Kumar Chhaparwal dicho. «La ofuscación del código oculta su verdadero propósito, obstaculizando el análisis».
Un análisis posterior ha determinado que el código inyectado está diseñado para consultar el referente del sitio web («document.referrer«), que identifica la dirección de la página web desde la cual se originó una solicitud.
Si el referente es un motor de búsqueda como Google, Bing, Duckduckgo, Yahoo!, O AOL, el código JavaScript redirige a las víctimas a las URL maliciosas que pueden entregar malware, hazañas, monetización de tráfico y malvertición.
La Unidad 42 dijo que su telemetría descubrió 269,552 páginas web que se han infectado con el código JavaScript utilizando la técnica JSFiretruck entre el 26 de marzo y el 25 de abril de 2025.
«La escala y el sigilo de la campaña representan una amenaza significativa», dijeron los investigadores. «La naturaleza generalizada de estas infecciones sugiere un esfuerzo coordinado para comprometer sitios web legítimos como vectores de ataque para nuevas actividades maliciosas».
Saluda a Hellotds
El desarrollo se produce cuando Gen Digital quitó las envolturas de un sofisticado servicio de distribución de tráfico (TDS) Llamado Hellotds que está diseñado para redirigir condicionalmente a los visitantes del sitio a páginas falsas de Captcha, estafas de soporte técnico, actualizaciones falsas del navegador, extensiones no deseadas del navegador y estafas de criptomonedas a través de un código JavaScript de ramificación inyectado en los sitios.
El objetivo principal del TDS es actuar como una puerta de enlace, determinando la naturaleza exacta del contenido que se entregará a las víctimas después de hacer huellas digitales sus dispositivos. Si el usuario no se considera un objetivo adecuado, la víctima se redirige a una página web benigna.
«Los puntos de entrada de la campaña son sitios web de transmisión infectados o de otro tipo controlados por los atacantes, servicios para compartir archivos, así como campañas malvertidas», investigadores VOJTěCH Krejsa y Milan Špinka dicho en un informe publicado este mes.
«Las víctimas se evalúan en función de la geolocalización, la dirección IP y las huellas digitales del navegador; por ejemplo, se detectan y rechazan las conexiones a través de VPN o navegadores sin cabeza».
Se ha encontrado que algunas de estas cadenas de ataque sirven a páginas de captcha falsos que aprovechan el Clickfix estrategia para engañar a los usuarios para que ejecute código malicioso e infectar sus máquinas con un malware conocido como Pico (también conocido como Loader Emmenhtal), que es conocido por los robadores de información del servidor como Lumma.
La infraestructura central de Hellotds es el uso de dominios de nivel superior .top, .shop y .com que se utilizan para alojar el código JavaScript y activar las redirecciones después de un proceso de huellas dactilares en varias etapas diseñados para recopilar información de red y navegador.
«La infraestructura de Hellotds detrás de las campañas falsas de Captcha demuestra cómo los atacantes continúan refinando sus métodos para evitar las protecciones tradicionales, evadir la detección y apuntar selectivamente a las víctimas», dijeron los investigadores.
«Al aprovechar las huellas dactilares sofisticadas, la infraestructura de dominio dinámico y las tácticas de engaño (como imitar sitios web legítimos y servir contenido benigno a los investigadores) estas campañas logran el sigilo y la escala».