コンテンツにスキップするには Enter キーを押してください

1か月で269,000以上のウェブサイトがJSFireTruck JavaScriptマルウェアに感染

投稿日 2025年6月13日

Image

サイバーセキュリティの研究者たちは、正当なウェブサイトが悪意のあるJavaScriptインジェクションによって侵害されている「大規模なキャンペーン」に注目しています。

Palo Alto Networks Unit 42によると、これらの悪意のあるインジェクションはJSFuckを使用して難読化されており、これはコードを書くのに限られた文字セットのみを使用する「エソテリックで教育的なプログラミングスタイル」を指します。

サイバーセキュリティ企業は、この手法をJSFireTruckと名付けていますが、これは卑語が含まれているためです。

“複数のウェブサイトで、JSFireTruck難読化を使用した悪意のあるJavaScriptがインジェクトされていることが確認されています。これは主に記号[, ], +, $, {, }で構成されています。”と、セキュリティ研究者のHardik Shah、Brad Duncan、Pranay Kumar Chhaparwalが述べています。”コードの難読化はその真の目的を隠し、分析を妨げます。”

さらなる分析により、インジェクトされたコードがウェブサイトのリファラー(”document.referrer“)をチェックするように設計されていることが判明しました。これはリクエストが発信されたウェブページのアドレスを識別します。

リファラーがGoogle、Bing、DuckDuckGo、Yahoo!、AOLなどの検索エンジンである場合、JavaScriptコードは被害者をマルウェア、エクスプロイト、トラフィックの収益化、マルバタイジングを提供する悪意のあるURLにリダイレクトします。

Image

Unit 42は、そのテレメトリーにより、2025年3月26日から4月25日の間にJSFireTruck技術を使用したJavaScriptコードに感染した269,552のウェブページを発見しました。キャンペーンの急増は4月12日に初めて記録され、その日だけで50,000以上の感染したウェブページが記録されました。

“キャンペーンの規模とステルス性は重大な脅威をもたらします。”と研究者たちは述べています。”これらの感染の広範な性質は、さらなる悪意のある活動のための攻撃ベクトルとして正当なウェブサイトを侵害するための協調的な努力を示唆しています。”

HelloTDSに挨拶を#

この開発は、Gen DigitalがHelloTDSと呼ばれる高度なトラフィック配信サービス(TDS)を公開した際に発生しました。これは、リモートでホストされたJavaScriptコードをサイトに注入することで、サイト訪問者を偽のCAPTCHAページ、技術サポート詐欺、偽のブラウザ更新、不要なブラウザ拡張機能、暗号通貨詐欺に条件付きでリダイレクトするよう設計されています。

TDSの主な目的はゲートウェイとして機能し、デバイスの指紋を取得した後に被害者に配信されるコンテンツの正確な性質を決定することです。ユーザーが適切なターゲットでないと判断された場合、被害者は無害なウェブページにリダイレクトされます。

Image

“キャンペーンのエントリーポイントは感染した、または攻撃者が制御するストリーミングウェブサイト、ファイル共有サービス、およびマルバタイジングキャンペーンです。”と研究者のVojtěch KrejsaとMilan Špinkaが今月発表したレポートで述べています

“被害者は地理的位置、IPアドレス、ブラウザの指紋に基づいて評価されます。例えば、VPNやヘッドレスブラウザを通じた接続は検出され、拒否されます。”

これらの攻撃チェーンの一部は、ユーザーを騙して悪意のあるコードを実行させ、ClickFix戦略を利用してPEAKLIGHT(別名Emmenhtal Loader)として知られるマルウェアでマシンを感染させる偽のCAPTCHAページを提供することが判明しています。これはLummaのような情報スティーラーをサーバーすることが知られています。

HelloTDSインフラストラクチャの中心には、.top、.shop、.comのトップレベルドメインが使用されており、JavaScriptコードをホストし、ネットワークとブラウザ情報を収集するために設計された多段階の指紋取得プロセスに続いてリダイレクトをトリガーします。

“偽のCAPTCHAキャンペーンの背後にあるHelloTDSインフラストラクチャは、攻撃者が伝統的な保護を回避し、検出を逃れ、選択的に被害者をターゲットにする方法をどのように洗練し続けているかを示しています。”と研究者たちは述べています。

“高度な指紋取得、動的なドメインインフラストラクチャ、欺瞞戦術(正当なウェブサイトを模倣し、研究者に無害なコンテンツを提供するなど)を活用することで、これらのキャンペーンはステルス性と規模の両方を達成しています。”

翻訳元: https://thehackernews.com/2025/06/over-269000-websites-infected-with.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です