Siber güvenlik araştırmacıları, yüzlerce meşru web sitesini tehlikeye atmak ve şüpheli olmayan ziyaretçileri kötü niyetli içeriğe yönlendirmek için gelişmiş bir JavaScript gizleme tekniğinden yararlanan gelişmiş bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
Mart ve Nisan 2025 arasında 269.000’den fazla web sayfasını enfekte eden kampanya, görünüşte zararsız web sitesi öğelerinde kötü niyetli kodları gizlemek için JSFiretruck şaşkınlık yönteminin bir varyantını kullandı.
Saldırı kampanyası, tehdit aktörlerinin geniş bir uzlaşmacı platform ağı oluşturmak için meşru web sitelerine başarılı bir şekilde enjekte eden tehdit aktörleri ile dikkate değer bir kalıcılık ve ölçek gösterdi.
.png
)
Kötü niyetli komut dosyaları, popüler arama motorlarından gelen ziyaretçileri tespit etmek ve daha sonra sahte indirme sayfaları ve kimlik avı siteleri de dahil olmak üzere hileli içeriğe yönlendirmek için tasarlanmıştır.
Kampanya, 12 Nisan 2025’ten itibaren, kötü niyetli altyapının etkisini en üst düzeye çıkarmak için koordineli bir çabayı gösteren önemli bir artış gösterdi.
Palo Alto Networks analistleri, bu kampanyayı enfekte olmuş web sitelerinde JSFiretruck’un yaygın kullanımını tespit eden telemetri sistemleri aracılığıyla tanımladılar.
Araştırmacılar, bu tekniğin, geleneksel güvenlik algılama mekanizmalarından kaçınan karmaşık kötü niyetli kod oluşturmak için sadece altı ASCII karakterini kullanarak daha önceki JavaScript gizleme yöntemlerinin bir evrimini temsil ettiğini belirtti.
Bu kampanyada kullanılan JSFiretruck gizleme tekniği, başlangıçta 2009 yılında geliştirilen önceki Jjencode yöntemine dayanmaktadır, ancak gizleme için gereken karakter setini önemli ölçüde azaltır.
,%20!,%20+%20and%20numbers%20(Source%20-%20Palo%20Alto%20Networks).webp)
Jjencode 18 farklı ASCII karakteri kullanırken, JSFiretruck sadece altı sembol kullanarak aynı gizlemeyi gerçekleştirir: [, ]– (– )– !Ve +[1]. Bu indirgeme, tam işlevselliği korurken, kalıpa dayalı güvenlik sistemleri aracılığıyla tespit edilmesini zorlaştırır.
Kötü niyetli kod enjeksiyon süreci, meşru web sitelerini tehlikeye atan ve gizlenmiş JavaScript’i HTML sayfalarına ekleyen tehdit aktörleriyle başlar.
Tipik bir enjeksiyon, enfekte olmuş alanlarda bulunan örnek gibi görünüşte rastgele bir karakter dizisi olarak görünür: $=String.fromCharCode(118,61,119,46,104,112,40,39,35,41,49,59,10,82,109,120...).
.webp)
Bu kod snippet, JSFiretruck’u kötü niyetli yükü daha da gizlemek için ek kodlama teknikleriyle birleştirerek çok katmanlı gizleme yaklaşımını gösterir.
Gelişmiş Gizli Mekanizma ve Yük Teslimat
Bu kampanyanın teknik karmaşıklığı, görünüşte anlamsız karakter kombinasyonlarından anlamlı kod oluşturmak için JavaScript’in Tip Borçlama özelliğinden yararlanmasında yatmaktadır.
Gizat tekniği, Sınırlı Karakter Setini Fonksiyonel Kod’a dönüştürmek için JavaScript’in otomatik tür dönüşümünü kullanır.
Örneğin, ifade +[] Sayısal değeri sıfıra dönüştürürken +!![] Boolean manipülasyon ve tip zorlama yoluyla bir numarayı üretir.
Kötü amaçlı komut dosyası, yükünü yürütmeden önce arama motorlarından gelen ziyaretçileri tanımlamak için sofistike bir algılama mekanizması kullanır.
Kod çözülmüş JavaScript, Google, Bing, DuckDuckgo, Yahoo ve AOL arama motorlarından gelen trafiği özellikle hedefleyen yönlendirici kontrol kodu içerir.
Böyle bir trafik algılandığında, komut dosyası, tüm tarayıcı penceresini kapsayan ve kullanıcının tarama oturumunu etkili bir şekilde ele geçiren bir IFrame öğesi oluşturur.
.webp)
Yükü dağıtım mekanizması, meşru web sitesi içeriğini tamamen kaplayacak şekilde tasarlanmış belirli CSS özellikleri ile IFrame kodunun enjekte edilmesini içerir.
Enjekte edilen iframe kullanır z-index: 30000– width: 100%– height: 100%ve konumlandırma özellikleri left: 0; top: 0 Kullanıcıların orijinal web sitesi içeriğiyle etkileşime girmesini önleyen tam ekran bir kaplama oluşturmak için.
Bu teknik, tehdit aktörlerinin mağdurları, meşru bir web sitesini ziyaret etme görünümünü sürdürürken sahte yazılım indirmelerini, kimlik avı sayfalarını ve diğer hileli içeriği barındıran kötü amaçlı alanlara yönlendirmesini sağlar.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin