Pesquisadores de segurança cibernética alertam para uma campanha de grande escala que comprometeu mais de 269 mil sites legítimos em apenas um mês com um malware JavaScript chamado JSFireTruck. A técnica usa uma forma de ofuscação conhecida como JSFuck, que utiliza apenas símbolos como colchetes, sinais de adição e cifrões para dificultar a análise do código malicioso. O código injetado verifica a origem do tráfego por meio do campo document.referrer.
Se o acesso vier de motores de busca como Google, Bing ou DuckDuckGo, o visitante é redirecionado para URLs maliciosas que podem distribuir malwares, golpes de publicidade (malvertising) e outras ameaças. Entre 26 de março e 25 de abril de 2025, os analistas da Palo Alto Networks detectaram mais de 269 mil páginas infectadas, com um pico de 50 mil páginas contaminadas em um único dia, em 12 de abril. Segundo os pesquisadores, o volume e a discrição da campanha indicam uma ação coordenada para usar sites legítimos como vetores de ataque.
Paralelamente, foi identificada uma nova infraestrutura chamada HelloTDS, uma rede de distribuição de tráfego (Traffic Distribution Service) que redireciona usuários para páginas falsas de CAPTCHA, golpes de suporte técnico, atualizações falsas de navegador e até extensões maliciosas. Essa plataforma analisa geolocalização, IP e características do navegador da vítima antes de decidir o tipo de golpe a ser exibido. Os criminosos usam domínios como .top, .shop e .com para hospedar os códigos e realizar o redirecionamento após uma análise detalhada do ambiente da vítima. Entre as cargas finais distribuídas está o PEAKLIGHT, um malware que funciona como carregador de outros trojans, como o ladrão de informações Lumma.
