Los investigadores de ciberseguridad están llamando la atención sobre una «campaña a gran escala» que se ha observado que compromete sitios web legítimos con inyecciones de JavaScript malicioso.
Según Palo Alto Networks Unit 42, estas inyecciones maliciosas se ofuscan utilizando JSFuck , que se refiere a un «estilo de programación esotérico y educativo» que utiliza solo un conjunto limitado de caracteres para escribir y ejecutar código.
La empresa de ciberseguridad le ha dado a la técnica un nombre alternativo, JSFireTruck, debido al lenguaje grosero que implica.
«Se han identificado varios sitios web con JavaScript malicioso inyectado que utiliza la ofuscación JSFireTruck, compuesta principalmente por los símbolos [, ], +, $, { y }», declararon los investigadores de seguridad Hardik Shah, Brad Duncan y Pranay Kumar Chhaparwal . «La ofuscación del código oculta su verdadero propósito, lo que dificulta el análisis».
Un análisis más detallado ha determinado que el código inyectado está diseñado para comprobar el referente del sitio web (» document.referrer «), que identifica la dirección de la página web desde la que se originó una solicitud.
Si el referente es un motor de búsqueda como Google, Bing, DuckDuckGo, Yahoo! o AOL, el código JavaScript redirige a las víctimas a URL maliciosas que pueden distribuir malware, exploits, monetización de tráfico y publicidad maliciosa.
La Unidad 42 dijo que su telemetría descubrió 269,552 páginas web que fueron infectadas con código JavaScript usando la técnica JSFireTruck entre el 26 de marzo y el 25 de abril de 2025. El primer pico en la campaña se registró el 12 de abril, cuando se registraron más de 50,000 páginas web infectadas en un solo día.
«La escala y el sigilo de la campaña representan una amenaza significativa», afirmaron los investigadores. «La naturaleza generalizada de estas infecciones sugiere un esfuerzo coordinado para comprometer sitios web legítimos como vectores de ataque para futuras actividades maliciosas».
Saluda a HelloTDS
El desarrollo llega cuando Gen Digital presentó un sofisticado Servicio de Distribución de Tráfico (TDS) llamado HelloTDS que está diseñado para redirigir condicionalmente a los visitantes del sitio a páginas CAPTCHA falsas, estafas de soporte técnico, actualizaciones de navegador falsas, extensiones de navegador no deseadas y estafas de criptomonedas a través de código JavaScript alojado de forma remota inyectado en los sitios.
El objetivo principal del TDS es actuar como puerta de enlace, determinando la naturaleza exacta del contenido que se entregará a las víctimas tras identificar sus dispositivos. Si el usuario no se considera un objetivo adecuado, se le redirige a una página web inofensiva.
«Los puntos de entrada de las campañas son sitios web de streaming infectados o controlados por atacantes, servicios de intercambio de archivos y campañas de publicidad maliciosa», dijeron los investigadores Vojtěch Krejsa y Milan Špinka en un informe publicado este mes.
Las víctimas son evaluadas en función de su geolocalización, dirección IP y huella digital del navegador; por ejemplo, se detectan y rechazan las conexiones a través de VPN o navegadores sin cabeza.
Se ha descubierto que algunas de estas cadenas de ataque sirven páginas CAPTCHA falsas que aprovechan la estrategia ClickFix para engañar a los usuarios para que ejecuten código malicioso e infecten sus máquinas con un malware conocido como PEAKLIGHT (también conocido como Emmenhtal Loader), conocido por los ladrones de información de servidores como Lumma.
Un elemento central de la infraestructura de HelloTDS es el uso de dominios de nivel superior .top, .shop y .com, que se utilizan para alojar el código JavaScript y activar las redirecciones después de un proceso de toma de huellas digitales de varias etapas diseñado para recopilar información de la red y del navegador.
«La infraestructura de HelloTDS detrás de las campañas de CAPTCHA falsas demuestra cómo los atacantes continúan perfeccionando sus métodos para eludir las protecciones tradicionales, evadir la detección y seleccionar víctimas», dijeron los investigadores.
Al aprovechar la identificación sofisticada, la infraestructura de dominio dinámico y las tácticas de engaño (como la imitación de sitios web legítimos y la presentación de contenido inofensivo a los investigadores), estas campañas logran sigilo y escala.
Fuente y redacción: thehackernews.com
