JSFireTruck
A Palo Alto Networks Unit 42 kutatása részletesen bemutatja a JSFireTruck nevű új, különösen megtévesztő JavaScript-obfuszkációs technikát, amelyet széles körű malvertising kampányokban alkalmaznak. Ez a módszer a JSFuck eljárásra épül, amely lehetővé teszi, hogy a támadók kizárólag szimbólumokat – például zárójeleket, logikai operátorokat és szövegösszefűzést – használjanak teljes JavaScript-kódok felépítésére. A fertőzött weboldalakba beágyazott kód kifejezetten keresőmotorokról érkező felhasználókat céloz, akiket átirányítanak hamis, gyakran veszélyes tartalmú oldalakra. Ezek az oldalak gyakran phishing kampányok vagy automatikus letöltést kiváltó malware-oldalak, és a kampány célja a pénzszerzés vagy felhasználói eszközök kompromittálása.
A kutatás szerint több mint 269 000 fertőzött oldalt azonosítottak világszerte, különösen erős aktivitást április közepétől kezdődően. A kártékony kód a fertőzött oldalak forráskódjában található, és első ránézésre semmilyen gyanús mintázatot nem mutat, mivel a JSFireTruck karakteralapú szintaxisa szinte teljesen olvashatatlanná teszi az elemzést. A rendszer képes rekonstruálni alapvető JavaScript-funkciókat, például karakterláncokat, számokat, objektumokat, kizárólag típuskonverzióval és szintaktikai manipulációval.
A támadási módszer azért is veszélyes, mert az obfuszkáció nem csupán az észlelést nehezíti meg, hanem lehetővé teszi, hogy a támadók az ismert biztonsági szűrőket is kikerüljék. A cikk kiemeli, hogy az ilyen típusú fenyegetések ellen nem elegendő a hagyományos vírusirtó vagy szignatúra-alapú védelem, hanem fejlettebb, viselkedésalapú és forgalomelemzésen alapuló megközelítésekre van szükség. Az automatikusan frissülő biztonsági intelligencia, valamint a weboldalak integritásának rendszeres ellenőrzése észlelheti és blokkolhatja a hasonló fertőzéseket.
