СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
15.06.2025
#ИБ#ИИ

Кампания JSFireTruck: скрытые угрозы через обфусцированный JavaScript

Кампания JSFireTruck: скрытые угрозы через обфусцированный JavaScript

Источник: unit42.paloaltonetworks.com

Недавно специалисты по кибербезопасности выявили масштабную кампанию, в ходе которой злоумышленники внедряют запутанный JavaScript-код на легитимные веб-сайты. Этот метод обфускации, получивший название JSFireTruck, применяется для скрытого перенаправления пользователей на вредоносные ресурсы с целью распространения вредоносных программ, эксплуатации уязвимостей и рассылки спама.

Особенности метода JSFireTruck

Отличительной чертой JSFireTruck является использование необычной техники запутывания кода, которая:

  • использует ограниченный набор символов — преимущественно + и ${};
  • обеспечивает скрытие реального назначения скрипта и затрудняет его анализ;
  • опирается на механизм приведения типов в JavaScript для создания исполняемого кода из простых символов;
  • имитирует поведение и структуру более раннего метода Jjencode, но с повышенной эффективностью.

Вредоносный скрипт анализирует источник входящего трафика и при обнаружении, что пользователь пришёл из поисковой системы, автоматически перенаправляет его на токсичные URL.

Масштабы заражения и последствия

По данным телеметрии, в течение всего одного месяца более 269 000 веб-страниц подверглись заражению через JSFireTruck, что свидетельствует о широком и скоординированном характере атаки.

Кроме того, анализ кода показал, что внедрённый JavaScript использует перенаправление через iframe. Этот iframe:

  • накладывается поверх основного контента страницы;
  • фиксирует взаимодействие пользователя;
  • скрывает исходный материал, тем самым облегчая фишинг и перехват кликов.

Адаптивность механизма позволяет злоумышленникам перенастраивать перенаправление в зависимости от типа реферера, повышая шансы успешного заражения именно пользователей поисковых систем.

Реакция индустрии и методы защиты

Эксперты подчеркивают, что данная кампания — пример того, как легитимные сайты могут стать невольными участниками вредоносной экосистемы, что требует постоянного совершенствования средств защиты.

Для снижения угрозы используются:

  • расширенная фильтрация URL-адресов;
  • методы машинного обучения для упреждающего обнаружения обфусцированного JavaScript;
  • комплексные системы мониторинга веб-трафика и поведения скриптов.

Только интеграция этих технологий и своевременное обновление механизмов безопасности помогут защитить конечных пользователей от всё более изощрённых атак с использованием современных методов обфускации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: