Thought Leadership
Von Palo Alto Networks gemeldete Kampagne nutzt neue Verschleierungstechnik zur Umleitung auf Schadseiten.
Cybersecurity-Experten schlagen Alarm: Eine breit angelegte Angriffswelle hat zahlreiche legitime Webseiten kompromittiert. Die Angreifer platzieren dabei verschleierten JavaScript-Code, der Besucher bei bestimmten Bedingungen automatisch auf schädliche Inhalte weiterleitet.
Verschleierung durch „JSFireTruck“
Die Sicherheitsforscher von Palo Alto Networks Unit 42 berichten, dass die Angreifer auf eine obskure Verschleierungsmethode setzen, die intern als „JSFireTruck“ bezeichnet wird. Der Name spielt auf die extrem eingeschränkte Syntax dieser JavaScript-Variante an – bestehend fast ausschließlich aus Symbolen wie [, ], +, $, { und }. Diese Technik erschwert es, die wahre Funktion des Codes zu erkennen oder automatisiert zu analysieren.
In der Praxis wird über die manipulierten Webseiten der sogenannte „Referrer“ überprüft – also die Adresse, von der aus ein Besucher zur Webseite gelangt ist. Stellt das Skript fest, dass der Besucher von einer Suchmaschine wie Google, Bing oder Yahoo kommt, erfolgt eine automatische Weiterleitung zu bösartigen URLs. Diese Seiten können Malware verbreiten, Exploits nutzen oder unerwünschte Werbung und Scams anzeigen.
Umfang der Angriffe beunruhigend groß
Laut den Analysten von Unit 42 wurden zwischen dem 26. März und dem 25. April 2025 weltweit über 269.000 infizierte Webseiten identifiziert. Allein am 12. April waren über 50.000 Fälle an einem einzigen Tag zu verzeichnen. Die Forscher werten dies als Zeichen für eine koordinierte und professionell organisierte Angriffswelle.
Parallel dazu wurde ein weiteres, technisch anspruchsvolles Angriffswerkzeug aufgedeckt: das sogenannte HelloTDS. Dabei handelt es sich um ein sogenanntes „Traffic Distribution System“ – also ein System zur gezielten Weiterleitung von Internetnutzern, abhängig von deren Profil.
Laut einer Analyse von Gen Digital kommt HelloTDS vor allem bei kompromittierten Streaming-Seiten, Filesharing-Plattformen und über manipulierte Werbeanzeigen zum Einsatz. Besucher werden nach einer detaillierten Fingerabdruckanalyse ihres Systems – inklusive Geostandort, IP-Adresse und Browsermerkmalen – bewertet. Nur wenn das Opfer als „interessant“ gilt, wird es auf betrügerische Seiten weitergeleitet, etwa mit gefälschten CAPTCHA-Abfragen, gefälschten Software-Updates oder Phishing-Seiten.
Gefährliche Weiterleitungen zu Malware
Eine besonders perfide Masche innerhalb dieser Angriffe: Nutzer sollen vermeintlich eine CAPTCHA-Sicherheitsprüfung bestehen. In Wahrheit löst der Klick jedoch die Ausführung von Schadcode aus. So gelangt unter anderem die Malware PEAKLIGHT, auch bekannt als Emmenthal Loader, auf die betroffenen Systeme. Diese dient dazu, weitere Schadsoftware wie Informationsdiebe – etwa Lumma – nachzuladen.
Steigende Komplexität und Gefahr
Die jüngsten Erkenntnisse zeigen, wie ausgeklügelt und dynamisch moderne Cyberangriffe mittlerweile aufgebaut sind. Durch gezielte Besucheranalyse, stark verschleierten Code und wechselnde Infrastruktur gelingt es Angreifern zunehmend, Sicherheitsmechanismen zu umgehen und Opfer selektiv auszuwählen. Die Kombination aus JSFireTruck und HelloTDS steht exemplarisch für diese Entwicklung und stellt laut Sicherheitsexperten eine signifikante Bedrohung für die Integrität legitimer Webseiten dar.
