Mais de 269 mil sites são infectados com malware JavaScript JSFireTruck
- Cyber Security Brazil
- 14 de jun.
- 2 min de leitura

Uma campanha internacional de injeção de código malicioso em sites legítimos está gerando grande preocupação entre especialistas em cibersegurança. Pesquisadores da Unidade 42, da Palo Alto Networks, identificaram uma operação em larga escala que já comprometeu mais de 269 mil páginas da web entre os dias 26 de março e 25 de abril de 2025. O ataque utiliza JavaScript ofuscado por meio de uma técnica conhecida como JSFuck, renomeada pelos pesquisadores como JSFireTruck, em alusão ao estilo peculiar e vulgar dos caracteres utilizados na codificação: [, ], +, $, {, }.
O código malicioso atua verificando o referrer do site, ou seja, o endereço da página de origem da visita. Caso o usuário venha de buscadores populares como Google, Bing ou DuckDuckGo, ele é redirecionado para URLs maliciosas que podem distribuir malware, explorar falhas, exibir anúncios enganosos (malvertising) ou realizar monetização de tráfego. Um pico da campanha foi registrado em 12 de abril, com mais de 50 mil páginas infectadas em um único dia. Os especialistas alertam que o volume e a furtividade da operação indicam um esforço coordenado para comprometer sites confiáveis e transformá-los em vetores para ataques subsequentes.

No mesmo período, a empresa Gen Digital revelou uma ameaça complementar: um sofisticado sistema de Distribuição de Tráfego (TDS) batizado de HelloTDS, responsável por redirecionar internautas para páginas falsas de CAPTCHA, golpes de suporte técnico, atualizações falsas de navegador e fraudes com criptomoedas. Essa manipulação é feita com base na análise do perfil da vítima – incluindo geolocalização, endereço IP e características do navegador. Usuários que não se enquadram nos critérios são levados a páginas inofensivas, como forma de evitar a detecção por analistas de segurança.
Além disso, algumas cadeias de infecção utilizam a tática ClickFix para enganar vítimas com CAPTCHA falsos. Ao clicar, o usuário executa código malicioso que instala o malware PEAKLIGHT (também conhecido como Emmenthal Loader), um infostealer que rouba dados de servidores e credenciais sensíveis, frequentemente ligado a ataques com o malware Lumma. Os domínios utilizados para essas operações geralmente pertencem aos TLDs “.top”, “.shop” e “.com”, com infraestrutura dinâmica e altamente evasiva. Os pesquisadores destacam que os grupos hackers por trás dessas campanhas vêm aperfeiçoando técnicas para burlar defesas tradicionais, evitando detecções automatizadas e priorizando alvos de alto valor com precisão cirúrgica.
Via - THN
Comments