JSFireTruck 恶意软件
网络安全专家对一项大规模攻击活动发出警告,该活动通过恶意 JavaScript 注入系统性地入侵合法网站。由于其隐秘的攻击方式和广泛的传播范围,此次大规模攻击行动构成了严重威胁。
目录
JSFireTruck:首选的混淆武器
注入的 JavaScript 代码使用一种名为 JSFuck 的方法进行混淆,JSFuck 是一种深奥的、用于教学的 JavaScript 编程风格,仅使用一组有限的字符。由于其外观和命名的粗糙性,研究人员将其命名为 JSFireTruck。这种混淆方法依赖于 [、]、+、$、{ 和 } 等符号来隐藏代码的真实意图,使其难以分析和检测。
恶意代码如何运作
在注入合法网站后,JSFireTruck 代码会执行一项关键检查:它会检查 document.referrer,该链接会显示访问者来自哪个网页的地址。如果检测到引用来源是搜索引擎,例如 Google、Bing、DuckDuckGo、Yahoo! 或 AOL,该脚本会自动将用户重定向到恶意 URL。这些目标旨在传播恶意软件、浏览器漏洞、流量牟利计划或恶意广告(恶意广告)。
感染范围:超过269,000个网页被感染
2025年3月26日至4月25日期间,研究人员发现超过26.9万个网页感染了JSFireTruck混淆的JavaScript代码。4月12日,该攻击活动数量急剧增加,仅一天时间就有超过5万个网页遭到入侵。
协同且隐蔽:严重的网络安全威胁
此次攻击活动的规模和复杂程度表明,攻击者正协同行动,利用受信任的网站作为攻击平台,实施更广泛的恶意目标。通过入侵合法域名,攻击者不仅可以规避基本的安全过滤器,还能增加成功欺骗最终用户并在不被发现的情况下传播恶意软件的可能性。此次持续的攻击活动对网络安全构成了重大威胁,凸显了采取谨慎的检测和响应措施的必要性。
面对不断演变的威胁保持警惕
此次活动凸显了利用可信平台投递恶意载荷的威胁行为者日益精湛的技术和持久性。随着攻击者不断改进其技术,例如使用像 JSFireTruck 这样的高级混淆技术,网站管理员、开发人员和网络安全团队必须实施强大的安全措施。定期代码审计、入侵检测系统和主动威胁情报对于防御此类隐秘攻击至关重要。最终,在日益严峻的数字环境中,意识和警惕仍然是我们最强大的防御手段。
