L’article publié par le Threat Research Center de Palo Alto Networks explore une campagne de compromission de sites web légitimes à l’aide de code JavaScript obfusqué, surnommé JSFireTruck.
Cette campagne utilise une technique d’obfuscation JavaScript appelée JSF*ck, renommée JSFireTruck pour éviter la vulgarité. Les attaquants injectent ce code dans des sites web pour rediriger les utilisateurs vers des pages malveillantes, exploitant des moteurs de recherche comme vecteurs de redirection. Plus de 269 000 pages ont été infectées entre mars et avril 2025, révélant l’ampleur de l’attaque.
L’obfuscation repose sur un ensemble restreint de caractères et utilise la coercition de type JavaScript pour masquer le code malveillant. Ce code redirige les utilisateurs vers des sites qui peuvent télécharger des logiciels malveillants ou effectuer des activités nuisibles comme le malvertising.
L’article vise à sensibiliser sur les techniques d’obfuscation et à encourager les administrateurs de sites à maintenir leurs systèmes à jour.
🧠 TTP et IOC détecté
TTP
T1027 - Obfuscated Files or Information, T1071.001 - Web Protocols, T1189 - Drive-by Compromise
🔗 Source originale : https://unit42.paloaltonetworks.com/malicious-javascript-using-jsfiretruck-as-obfuscation/