MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Access

ver 269,000 legit websites hijacked with hidden JavaScript


أكثر من 269,000 موقع إلكتروني تعرض لاختراق برمجية JSFireTruck JavaScript خلال شهر واحد

سلط باحثو الأمن السيبراني الضوء على "حملة واسعة النطاق" تم خلالها اختراق مواقع إلكترونية شرعية بحقنات خبيثة باستخدام JavaScript.

وفقًا لوحدة Unit 42 التابعة لشركة Palo Alto Networks، فإن هذه الشيفرات الخبيثة تم تمويهها باستخدام أسلوب يُعرف باسم JSFuck، وهو أسلوب برمجة غريب وتعليمي يستخدم مجموعة محدودة من الرموز لكتابة وتنفيذ الشيفرات.

وقد أطلقت الشركة الأمنية اسمًا بديلاً على هذه التقنية هو JSFireTruck بسبب تضمنها لبعض العبارات النابية في الشيفرة.

وقال الباحثون الأمنيون هارديك شاه، براد دنكان، وبراناي كومار شاباروال: "تم تحديد عدة مواقع إلكترونية تحتوي على شيفرات JavaScript خبيثة تستخدم تمويه JSFireTruck، وهي تتكون أساسًا من الرموز [, ]، +، $، {، و }." وأضافوا: "إن تمويه الشيفرة يُخفي الغرض الحقيقي منها، مما يعيق تحليلها."

أظهر التحليل أن الشيفرة المحقونة مصممة للتحقق من قيمة document.referrer، وهي التي تحدد عنوان صفحة الويب التي تم منها الوصول إلى الموقع.

وفي حال كان المرجع هو محرك بحث مثل Google أو Bing أو DuckDuckGo أو Yahoo! أو AOL، فإن الشيفرة تقوم بإعادة توجيه المستخدمين إلى روابط خبيثة قد تحتوي على برمجيات ضارة أو استغلالات أو أنشطة إعلانية خبيثة أو أدوات لجني زيارات غير مشروعة.

أشارت وحدة Unit 42 إلى أن أدوات المراقبة الخاصة بها اكتشفت 269,552 صفحة ويب مصابة بشيفرات JavaScript باستخدام تقنية JSFireTruck في الفترة بين 26 مارس و25 أبريل 2025. وتم تسجيل ذروة الحملة في 12 أبريل عندما تم رصد أكثر من 50,000 صفحة مصابة في يوم واحد فقط.

قال الباحثون: "حجم الحملة وطبيعتها التخفيّة يشكلان تهديدًا كبيرًا. إن انتشار العدوى بهذا الشكل يشير إلى جهد منسق لاختراق المواقع الشرعية واستخدامها كنقاط انطلاق لهجمات خبيثة إضافية."

مرحبًا بـ HelloTDS

يأتي هذا التطور في الوقت الذي كشفت فيه شركة Gen Digital عن نظام توزيع زيارات متطور (TDS) يُعرف باسم HelloTDS، وهو مصمم لإعادة توجيه زوار المواقع بشكل مشروط إلى صفحات CAPTCHA مزيفة، أو صفحات دعم فني وهمي، أو تحديثات مزيفة للمتصفح، أو إضافات متصفح غير مرغوب فيها، أو احتيالات تتعلق بالعملات الرقمية، وذلك باستخدام شيفرات JavaScript مستضافة عن بعد تم حقنها في المواقع.

الهدف الرئيسي من هذا النظام هو العمل كبوابة ذكية، حيث يحدد نوع المحتوى الذي يجب تقديمه للضحية بعد جمع بصمة جهازه. إذا لم يكن المستخدم هدفًا مناسبًا، فسيتم إعادة توجيهه إلى صفحة ويب عادية.

قال الباحثان Vojtěch Krejsa وMilan Špinka في تقرير نُشر هذا الشهر: "نقاط الدخول إلى هذه الحملة تشمل مواقع بث وتحميل خاضعة لسيطرة المهاجمين أو مصابة، بالإضافة إلى حملات إعلانية خبيثة."

"يتم تقييم الضحايا بناءً على الموقع الجغرافي وعنوان IP وبصمة المتصفح. فعلى سبيل المثال، يتم اكتشاف ورفض الاتصالات التي تتم عبر VPN أو المتصفحات الرأسية (Headless Browsers)."

وقد تم تحديد أن بعض سلاسل الهجوم تستخدم صفحات CAPTCHA مزيفة تعتمد على استراتيجية تُعرف باسم ClickFix لخداع المستخدمين لتشغيل شيفرات خبيثة تؤدي إلى إصابة الجهاز ببرمجية معروفة باسم PEAKLIGHT (المعروفة أيضًا باسم Emmental Loader)، والتي تُستخدم بدورها لتثبيت برمجيات سرقة معلومات مثل Lumma.

العنصر الرئيسي في بنية HelloTDS هو استخدام نطاقات من المستوى الأعلى مثل .top و .shop و .com لاستضافة شيفرات JavaScript وتنفيذ عمليات إعادة التوجيه بعد مراحل متعددة من جمع المعلومات الخاصة بالشبكة والمتصفح.

قال الباحثون: "إن بنية HelloTDS التي تقف خلف حملات CAPTCHA المزيفة تُظهر كيف يواصل المهاجمون تطوير أساليبهم لتجاوز الحمايات التقليدية، وتفادي الاكتشاف، واستهداف الضحايا بشكل انتقائي."

"من خلال استخدام تقنيات جمع بصمات ذكية، وبنية نطاقات ديناميكية، وأساليب خداع مثل تقليد المواقع الشرعية وتقديم محتوى آمن للباحثين، تنجح هذه الحملات في الجمع بين التخفي والانتشار الواسع."