Los investigadores de ciberseguridad están llamando la atención sobre una «campaña a gran escala» que se ha observado comprometiendo sitios web legítimos con inyecciones de JavaScript maliciosas.
Según la Unidad 42 de Palo Alto Networks, estos inyecciones maliciosas se ofusen usando JSFuck, que se refiere a un «estilo de programación esotérico y educativo» que usa solo un conjunto limitado de caracteres para escribir y ejecutar código.
La compañía de seguridad cibernética le ha dado a la técnica un nombre alternativo jsfiretruck debido a las blasfemias involucradas.
«Se han identificado múltiples sitios web con JavaScript malicioso inyectado que utiliza la ofuscación JSFiretruck, que se compone principalmente de los símbolos (,), +, $, {y}», dijeron los investigadores de seguridad Hardik Shah, Brad Duncan y Pranay Kumar Chhaparwal. «La ofuscación del código oculta su verdadero propósito, obstaculizando el análisis».
Un análisis posterior ha determinado que el código inyectado está diseñado para verificar el referente del sitio web («document.referrer»), que identifica la dirección de la página web desde la cual se originó una solicitud.
Si el referente es un motor de búsqueda como Google, Bing, Duckduckgo, Yahoo!, O AOL, el código JavaScript redirige a las víctimas a las URL maliciosas que pueden entregar malware, hazañas, monetización de tráfico y malvertición.
La unidad 42 dijo que su telemetría descubrió 269,552 páginas web que se han infectado con el código JavaScript utilizando la técnica JSFiretruck entre el 26 de marzo y el 25 de abril de 2025.
«La escala y el sigilo de la campaña representan una amenaza significativa», dijeron los investigadores. «La naturaleza generalizada de estas infecciones sugiere un esfuerzo coordinado para comprometer sitios web legítimos como vectores de ataque para nuevas actividades maliciosas».
Saluda a Hellotds
El desarrollo se produce cuando Gen Digital eliminó las envolturas de un sofisticado servicio de distribución de tráfico (TDS) llamado Hellotds que está diseñado para redirigir condicionalmente a los visitantes del sitio a páginas falsas de Captcha, estafas de soporte técnico, actualizaciones de navegador falsas, extensiones no deseadas del navegador y estafadores de criptomonedas a través de los códigos de javascrito remotos inyectados en los sitios.
El objetivo principal del TDS es actuar como una puerta de enlace, determinando la naturaleza exacta del contenido que se entregará a las víctimas después de hacer huellas digitales sus dispositivos. Si el usuario no se considera un objetivo adecuado, la víctima se redirige a una página web benigna.
«Los puntos de entrada de la campaña son sitios web de transmisión infectados o de otro tipo controlados por los atacantes, los servicios para compartir archivos, así como las campañas malvertidas», dijeron los investigadores VOJTěCH Krejsa y Milan Špinka en un informe publicado este mes.
«Las víctimas se evalúan en función de la geolocalización, la dirección IP y las huellas digitales del navegador; por ejemplo, se detectan y rechazan las conexiones a través de VPN o navegadores sin cabeza».
Se ha encontrado que algunos de estos cadenas de ataque sirven a las páginas Captcha falsas que aprovechan la estrategia de ClickFix para engañar a los usuarios para que ejecutaran código malicioso e infecten sus máquinas con un malware conocido como Peaklight (también conocido como Loader Emmenhtal), que se sabe que es servidor de robos de información como Lumma.
La infraestructura central de Hellotds es el uso de dominios de nivel superior .top, .shop y .com que se utilizan para alojar el código JavaScript y activar las redirecciones después de un proceso de huellas dactilares en varias etapas diseñados para recopilar información de red y navegador.
«La infraestructura de Hellotds detrás de las campañas falsas de Captcha demuestra cómo los atacantes continúan refinando sus métodos para evitar las protecciones tradicionales, evadir la detección y apuntar selectivamente a las víctimas», dijeron los investigadores.
«Al aprovechar las huellas dactilares sofisticadas, la infraestructura de dominio dinámico y las tácticas de engaño (como imitar sitios web legítimos y servir contenido benigno a los investigadores) estas campañas logran el sigilo y la escala».
