Масштабна кампанія JSFireTruck заражає сотні тисяч сайтів через пошукові системи

Дослідники Palo Alto Networks викрили глобальну кампанію, у якій понад чверть мільйона сайтів були заражені шкідливим JavaScript-кодом. Новий метод обфускації під назвою JSFireTruck націлений на користувачів із пошукових систем, перенаправляючи їх на сторінки з малваре, експлойтами та фейковими CAPTCHA.

Ця атака базується на техніці JSFuck, де код записано лише за допомогою символів [, ], +, $, {, }. Така нестандартна форма дозволяє зловмисникам ховати шкідливий функціонал та ускладнює аналіз.

JSFireTruck спрацьовує, якщо реферером є Google, Bing, DuckDuckGo, Yahoo! чи AOL — користувач миттєво перенаправляється на шкідливу сторінку. Там його чекають:

• малваре та експлойти,
• шахрайські оновлення браузера,
• фейкові техпідтримки,
• криптовалютні афери.

Пік заражень було зафіксовано 12 квітня 2025 року — понад 50 000 сайтів лише за один день. Загалом за місяць було зафіксовано 269 552 зараження.

Паралельно дослідники з Gen Digital виявили нову TDS-платформу HelloTDS, яка використовує JavaScript для умовного перенаправлення на фейкові сторінки CAPTCHA, інсталяції небажаних розширень або запуску шкідливих скриптів. HelloTDS виконує повне браузерне та геолокаційне відстеження, аналізує IP, використовує скрипти на .top, .shop, .com-доменах і відхиляє доступ користувачів із VPN чи headless-браузерами.

• Використовуючи стратегію ClickFix, зловмисники змушують користувача активувати шкідливий код вручну. В результаті пристрій заражається PEAKLIGHT — завантажувачем, що доставляє інфостилери на зразок Lumma.

Кампанії JSFireTruck і HelloTDS демонструють високий рівень автоматизації та адаптивності. Їхній успіх — у комбінації складної обфускації, динамічних редиректів та багаторівневої фільтрації користувачів. Це вкотре підкреслює: класичні антивіруси безсилі проти складних браузерних атак. Захист має починатись із моніторингу поведінки коду та аналізу скриптів у реальному часі.