محققان امنیت سایبری از کمپین گسترده‌ای خبر می‌دهند که در آن وب‌سایت‌های معتبر با تزریق جاوااسکریپت مخرب به خطر افتاده‌اند. واحد ۴۲ شرکت پالو آلتو نتورکس گزارش داده که این تزریقات مخرب با استفاده از تکنیک JSFuck مبهم‌سازی شده‌اند. این روش برنامه‌نویسی خاص تنها از مجموعه محدودی از کاراکترها برای نوشتن و اجرای کد استفاده می‌کند.

این شرکت امنیتی به دلیل محتوای نامناسب نام JSFuck، نام جایگزین JSFireTruck را برای این تکنیک انتخاب کرده است. محققان امنیتی هاردیک شاه، برد دانکن و پرانای کومار چاپاروال توضیح می‌دهند که چندین وب‌سایت با جاوااسکریپت مخرب تزریق شده شناسایی شده‌اند که از مبهم‌سازی JSFireTruck استفاده می‌کنند. این کد عمدتاً از نمادهای [، ]، +، $، { و } تشکیل شده است. مبهم‌سازی کد هدف واقعی آن را پنهان کرده و تحلیل را دشوار می‌سازد.

تحلیل‌های بیشتر نشان می‌دهد که کد تزریق شده برای بررسی ارجاع‌دهنده وب‌سایت طراحی شده است. این ویژگی آدرس صفحه وبی را که درخواست از آن سرچشمه گرفته، شناسایی می‌کند. اگر ارجاع‌دهنده یک موتور جستجو مانند گوگل، بینگ، داک‌داک‌گو، یاهو یا AOL باشد، کد جاوااسکریپت قربانیان را به آدرس‌های مخرب هدایت می‌کند که می‌توانند بدافزار، بهره‌برداری‌ها و تبلیغات مخرب را منتقل کنند.

واحد ۴۲ اعلام کرد که داده‌های آن‌ها ۲۶۹،۵۵۲ صفحه وب را شناسایی کرده که بین ۲۶ مارس تا ۲۵ آوریل ۲۰۲۵ با کد جاوااسکریپت با استفاده از تکنیک JSFireTruck آلوده شده‌اند. اوج این کمپین در ۱۲ آوریل ثبت شد که بیش از ۵۰،۰۰۰ صفحه وب آلوده در یک روز مشاهده شد.

محققان هشدار می‌دهند که مقیاس و پنهان‌کاری این کمپین تهدید قابل توجهی محسوب می‌شود. ماهیت گسترده این آلودگی‌ها نشان‌دهنده تلاش هماهنگ برای به خطر انداختن وب‌سایت‌های معتبر به عنوان بردارهای حمله برای فعالیت‌های مخرب بیشتر است.

معرفی HelloTDS

همزمان با این تحولات، شرکت Gen Digital از یک سرویس توزیع ترافیک پیچیده به نام HelloTDS رونمایی کرد که برای هدایت مشروط بازدیدکنندگان سایت به صفحات CAPTCHA جعلی، کلاهبرداری‌های پشتیبانی فنی، به‌روزرسانی‌های جعلی مرورگر، افزونه‌های ناخواسته مرورگر و کلاهبرداری‌های رمزارز طراحی شده است. این کار از طریق کد جاوااسکریپت میزبانی شده از راه دور که در سایت‌ها تزریق می‌شود، انجام می‌گیرد.

هدف اصلی این TDS عمل کردن به عنوان یک دروازه است که پس از انگشت‌نگاری دستگاه‌های قربانیان، ماهیت دقیق محتوایی که باید به آن‌ها ارائه شود را تعیین می‌کند. اگر کاربر هدف مناسبی تشخیص داده نشود، قربانی به یک صفحه وب بی‌ضرر هدایت می‌شود.

محققان ووتچ کرجسا و میلان اشپینکا در گزارشی که این ماه منتشر شد، توضیح دادند که نقاط ورود کمپین شامل وب‌سایت‌های استریمینگ آلوده یا تحت کنترل مهاجمان، سرویس‌های اشتراک فایل و همچنین کمپین‌های تبلیغات مخرب هستند. قربانیان بر اساس موقعیت جغرافیایی، آدرس IP و انگشت‌نگاری مرورگر ارزیابی می‌شوند. برای مثال، اتصالات از طریق VPN یا مرورگرهای بدون رابط کاربری تشخیص داده شده و رد می‌شوند.

برخی از این زنجیره‌های حمله صفحات CAPTCHA جعلی را ارائه می‌دهند که از استراتژی ClickFix برای فریب کاربران جهت اجرای کد مخرب و آلوده کردن دستگاه‌هایشان با بدافزاری به نام PEAKLIGHT استفاده می‌کنند. این بدافزار برای ارائه سارقان اطلاعات مانند Lumma شناخته شده است.

هسته اصلی زیرساخت HelloTDS استفاده از دامنه‌های سطح بالای .top، .shop و .com است که برای میزبانی کد جاوااسکریپت و راه‌اندازی هدایت‌ها پس از فرآیند انگشت‌نگاری چندمرحله‌ای که برای جمع‌آوری اطلاعات شبکه و مرورگر طراحی شده، استفاده می‌شوند.

محققان نتیجه‌گیری کردند که زیرساخت HelloTDS پشت کمپین‌های CAPTCHA جعلی نشان می‌دهد چگونه مهاجمان همچنان روش‌های خود را برای دور زدن حفاظت‌های سنتی، فرار از تشخیص و هدف‌گیری انتخابی قربانیان بهبود می‌بخشند. با بهره‌گیری از انگشت‌نگاری پیچیده، زیرساخت دامنه پویا و تاکتیک‌های فریب (مانند تقلید از وب‌سایت‌های معتبر و ارائه محتوای بی‌ضرر به محققان) این کمپین‌ها هم پنهان‌کاری و هم مقیاس را به دست می‌آورند.