- 19,421
- 40
- 8 Ноя 2022
270 тысяч сайтов не выдержали. Вы точно посещали один из них.
Злоумышленники взломали более 260 тысяч легитимных сайтов, внедрив в них вредоносный Для просмотра ссылки Войдиили Зарегистрируйся -код, замаскированный под невинную цепочку символов. Обнаруженная специалистами Palo Alto Networks массовая кампания началась в конце марта и резко усилилась в середине апреля. Главная цель — перенаправление пользователей на вредоносные ресурсы через заражённые страницы, особенно если переход совершается из поисковиков.
Для сокрытия истинного назначения скриптов используется необычный стиль кодирования под названием Для просмотра ссылки Войдиили Зарегистрируйся — он позволяет писать полноценные программы, используя только шесть символов: <code>[, ], +, $, {, }</code>. Команда Unit 42 Для просмотра ссылки Войди или Зарегистрируйся менее вызывающие название — JSFireTruck, намекая на характер кода. Такая Для просмотра ссылки Войди или Зарегистрируйся серьёзно затрудняет анализ и позволяет скриптам долгое время оставаться незамеченными.
Инфицированный код отслеживает, с какого ресурса перешёл пользователь. Если это поисковик вроде Google, Bing или DuckDuckGo, то посетитель автоматически перенаправляется на внешние сайты с потенциально вредоносным содержанием. Эти страницы могут содержать эксплойты, вредоносное ПО, фальшивые обновления браузера, а также использовать трафик в схемах монетизации и Для просмотра ссылки Войдиили Зарегистрируйся .
Пик активности этой кампании пришёлся на 12 апреля — только за один день было зафиксировано более 50 тысяч заражённых веб-страниц. Всего за месяц в поле зрения системы телеметрии Palo Alto Networks попали почти 270 тысяч инфицированных URL.
Параллельно Для просмотра ссылки Войдиили Зарегистрируйся ещё одна опасная активность — новая система распределения трафика ( Для просмотра ссылки Войди или Зарегистрируйся ) под названием HelloTDS, обнаруженная специалистами Gen Digital. Эта платформа ориентирована на выборочное перенаправление пользователей в зависимости от их IP-адреса, геолокации, характеристик браузера и устройства. HelloTDS сначала анализирует посетителя и лишь затем решает, показать ли ему фейковую CAPTCHA, техподдержку, якобы обновление браузера или другую уловку.
Если пользователь не подходит под параметры, его перенаправляют на безвредную страницу — такая стратегия помогает злоумышленникам избегать обнаружения. Особенно часто в качестве стартовых точек атак использовались ресурсы со стриминговым контентом, сайты обмена файлами и рекламные сети, в которых была размещена вредоносная JavaScript-нагрузка.
Некоторые цепочки атак приводили к установке вредоносной программы Для просмотра ссылки Войдиили Зарегистрируйся , также известной как Emmenhtal Loader. Этот загрузчик используется для доставки на устройства шпионских программ вроде Lumma — они собирают данные из браузеров, крадут пароли и криптокошельки.
Поддержка инфраструктуры HelloTDS строится на динамически генерируемых доменах верхнего уровня .top, .shop и .com. С их помощью и осуществляется управление кодом и перенаправлениями. Помимо внешней маскировки под легальные сайты, такие платформы специально снабжаются скриптами, распознающими VPN, эмуляторы браузеров и исследовательские среды, чтобы блокировать доступ специалистам по безопасности и избегать раскрытия.
Масштабность, мимикрия под легитимные страницы и изощрённые методы фильтрации делают кампании на базе JSFireTruck и HelloTDS особенно опасными — как для обычных пользователей, так и для владельцев скомпрометированных ресурсов.
Злоумышленники взломали более 260 тысяч легитимных сайтов, внедрив в них вредоносный Для просмотра ссылки Войди
Для сокрытия истинного назначения скриптов используется необычный стиль кодирования под названием Для просмотра ссылки Войди
Инфицированный код отслеживает, с какого ресурса перешёл пользователь. Если это поисковик вроде Google, Bing или DuckDuckGo, то посетитель автоматически перенаправляется на внешние сайты с потенциально вредоносным содержанием. Эти страницы могут содержать эксплойты, вредоносное ПО, фальшивые обновления браузера, а также использовать трафик в схемах монетизации и Для просмотра ссылки Войди
Пик активности этой кампании пришёлся на 12 апреля — только за один день было зафиксировано более 50 тысяч заражённых веб-страниц. Всего за месяц в поле зрения системы телеметрии Palo Alto Networks попали почти 270 тысяч инфицированных URL.
Параллельно Для просмотра ссылки Войди
Если пользователь не подходит под параметры, его перенаправляют на безвредную страницу — такая стратегия помогает злоумышленникам избегать обнаружения. Особенно часто в качестве стартовых точек атак использовались ресурсы со стриминговым контентом, сайты обмена файлами и рекламные сети, в которых была размещена вредоносная JavaScript-нагрузка.
Некоторые цепочки атак приводили к установке вредоносной программы Для просмотра ссылки Войди
Поддержка инфраструктуры HelloTDS строится на динамически генерируемых доменах верхнего уровня .top, .shop и .com. С их помощью и осуществляется управление кодом и перенаправлениями. Помимо внешней маскировки под легальные сайты, такие платформы специально снабжаются скриптами, распознающими VPN, эмуляторы браузеров и исследовательские среды, чтобы блокировать доступ специалистам по безопасности и избегать раскрытия.
Масштабность, мимикрия под легитимные страницы и изощрённые методы фильтрации делают кампании на базе JSFireTruck и HelloTDS особенно опасными — как для обычных пользователей, так и для владельцев скомпрометированных ресурсов.
- Источник новости
- www.securitylab.ru
