Negli ultimi mesi il panorama della sicurezza informatica è stato scosso dalla scoperta di una campagna su larga scala che ha compromesso oltre 269000 siti web tramite l’infezione da un sofisticato malware JavaScript chiamato JSFireTruck. Questa ondata di attacchi è stata identificata dai ricercatori di cybersecurity come una delle più ampie e subdole, colpendo siti perfettamente legittimi attraverso l’iniezione di codice malevolo estremamente offuscato.

Il sofisticato offuscamento con JSFuck

Il malware JSFireTruck sfrutta una tecnica di offuscamento denominata JSFuck, che utilizza esclusivamente simboli come parentesi quadre, più, dollaro, graffe e parentesi, rendendo il codice difficile da analizzare e individuare anche per gli esperti. L’obiettivo di questa tecnica è nascondere la reale funzionalità del malware, che si attiva solo in determinate condizioni rendendo l’attacco ancora più insidioso.

Meccanismo di attacco e diffusione

L’analisi approfondita ha rivelato che il codice malevolo controlla la provenienza del traffico sfruttando la variabile document.referrer. Se il visitatore proviene da motori di ricerca come Google, Bing, DuckDuckGo, Yahoo o AOL, il codice reindirizza automaticamente l’utente verso siti malevoli, che possono ospitare ulteriori malware, tentativi di truffa, campagne di malvertising o sfruttare vulnerabilità presenti nei browser.

Secondo i dati raccolti tra il 26 marzo e il 25 aprile 2025, sono state individuate oltre 269000 pagine web infette, con un picco di oltre 50000 infezioni in una sola giornata. Questo fenomeno evidenzia una strategia coordinata e distribuita, volta a sfruttare siti legittimi come vettori d’attacco su larga scala. La capillarità e la furtività di JSFireTruck rappresentano una minaccia concreta sia per i gestori dei siti sia per gli utenti finali.

HelloTDS e la distribuzione selettiva del traffico

Nel contesto di questa campagna si inserisce anche HelloTDS, un sistema avanzato di Traffic Distribution Service che, tramite JavaScript ospitato su domini specifici (.top, .shop, .com), reindirizza selettivamente i visitatori verso pagine di finti CAPTCHA, falsi aggiornamenti browser, estensioni indesiderate e truffe legate alle criptovalute. Il sistema si basa su tecniche di fingerprinting del browser e della rete, valutando la geolocalizzazione, l’indirizzo IP e la tipologia di dispositivo dell’utente per massimizzare il potenziale dannoso e ridurre la possibilità di essere scoperti.

Catena d’attacco e rischi per gli utenti

In alcuni casi, la catena d’attacco conduce all’installazione di malware come PEAKLIGHT, specializzato nel furto di informazioni sensibili, sfruttando tecniche di ingegneria sociale e pagine contraffatte. La crescente sofisticazione di queste minacce dimostra come i criminali informatici continuino a perfezionare i propri strumenti per aggirare le difese tradizionali e attaccare in modo mirato e invisibile.