Siber güvenlik araştırmacıları, kötü niyetli JavaScript enjeksiyonlarıyla meşru web sitelerinden ödün verdiği gözlemlenen “büyük ölçekli bir kampanyaya” dikkat çekiyorlar.
Palo Alto Networks Birimi 42’ye göre, bu kötü niyetli enjekler, kod yazmak ve yürütmek için yalnızca sınırlı bir karakter kümesi kullanan bir “ezoterik ve eğitim programlama stiline” atıfta bulunan JSFuck kullanılarak gizlenir.
Siber güvenlik şirketi, ilgili küfür nedeniyle tekniğe alternatif bir isim verdi.
“Öncelikle sembollerden oluşan JSFiretruck Obfusation kullanan enjekte edilen kötü niyetli JavaScript ile birden fazla web sitesi tanımlanmıştır. [, ]+, $, {ve}, “Güvenlik araştırmacıları Hardik Shah, Brad Duncan ve Pranay Kumar Chhaparwal dedi.
Daha fazla analiz, enjekte edilen kodun, bir isteğin ortaya çıktığı web sayfasının adresini tanımlayan web sitesi yönlendiricisini (“Document.Referrer”) kontrol etmek için tasarlandığını belirlemiştir.
Yönlendirici Google, Bing, DuckDuckgo, Yahoo! Veya AOL gibi bir arama motoru ise, JavaScript kodu kurbanları kötü amaçlı yazılım, istismar, trafik para kazanma ve kötüverizasyon sunabilen kötü amaçlı URL’lere yönlendirir.
Ünite 42, telemetrisinin 26 Mart ve 25 Nisan 2025 arasında JSFiretruck tekniği kullanılarak JavaScript kodu ile enfekte olan 269.552 web sayfasını ortaya çıkardığını söyledi. Kampanyadaki bir artış, ilk olarak 12 Nisan’da 50.000’den fazla enfekte web sayfasının bir gün içinde kaydedildiği kaydedildi.
Araştırmacılar, “Kampanyanın ölçeği ve gizliliği önemli bir tehdit oluşturuyor.” Dedi. Diyerek şöyle devam etti: “Bu enfeksiyonların yaygın doğası, daha fazla kötü niyetli faaliyetler için saldırı vektörleri olarak meşru web sitelerini tehlikeye atmak için koordineli bir çaba gösteriyor.”
Hellotds’a merhaba deyin
Geliştirme, Gen Digital’in, site ziyaretçilerini sahte captcha sayfalarına, teknoloji destek dolandırıcılığı, sahte tarayıcı güncellemeleri, istenmeyen tarayıcı uzantıları ve kripto para birikimi kodu sitelere giren kınama yoluyla koşullu olarak yönlendirmek için tasarlanmış Hellotds adlı sofistike bir trafik dağıtım hizmetini (TDS) tamamladığı için geliyor.
TDS’nin birincil amacı, cihazlarını parmak izledikten sonra kurbanlara teslim edilecek içeriğin kesin doğasını belirleyen bir ağ geçidi olarak hareket etmektir. Kullanıcı uygun bir hedef olarak kabul edilmezse, kurban iyi huylu bir web sayfasına yönlendirilir.
Araştırmacılar Vojtěch Krejsa ve Milan Špinka, bu ay yayınlanan bir raporda, “Kampanya giriş noktaları enfekte veya başka türlü saldırgan kontrollü akış web siteleri, dosya paylaşım hizmetleri ve kötü niyetli kampanyalar.” Dedi.
“Mağdurlar coğrafi konum, IP adresi ve tarayıcı parmak izine göre değerlendirilir; örneğin, VPN’ler veya başsız tarayıcılar aracılığıyla bağlantılar algılanır ve reddedilir.”
Bu saldırı zincirlerinin bazılarının, kullanıcıları kötü amaçlı kod çalıştırmak için kandırmak için ClickFix stratejisinden yararlanan ve Makinelerini Lumma gibi sunucu bilgi çalıcıları tarafından bilinen PeakLight (Emmenhtal Loader) olarak bilinen bir kötü amaçlı yazılımla bulaşan sahte captcha sayfalarına hizmet verdiği bulunmuştur.
Hellotds altyapısının merkezinde, JavaScript kodunu barındırmak ve ağ ve tarayıcı bilgilerini toplamak için tasarlanan çok aşamalı bir parmak izi işlemini takiben yönlendirmeleri tetiklemek için kullanılan .top, .shop ve .com üst düzey alanların kullanılmasıdır.
Araştırmacılar, “Sahte Captcha kampanyalarının arkasındaki Hellotds altyapısı, saldırganların geleneksel korumaları atlamak, tespitten kaçmak ve kurbanları seçici olarak hedeflemek için yöntemlerini nasıl geliştirmeye devam ettiğini gösteriyor.” Dedi.
“Sofistike parmak izi, dinamik alan altyapısı ve aldatma taktiklerinden yararlanarak (meşru web sitelerini taklit etmek ve araştırmacılara iyi huylu içerik sunmak gibi) bu kampanyalar hem gizli hem de ölçeğe ulaşıyor.”