A JSFireTruck és HelloTDS kampányok stratégiai áttekintése

Ez a bejegyzés egy kiterjedt és többlépcsős kiberbűnözői ökoszisztémát tár fel, amely legitim weboldalak tömeges kompromittálásával kezdődik, egy kifinomult forgalomelosztó és áldozat-profilozó rendszeren keresztül folytatódik, és professzionális információlopó szoftverek telepítésében csúcsosodik ki. A támadási lánc elemei – a JSFireTruck fertőzés, a HelloTDS forgalomirányító, a PEAKLIGHT betöltő és a Lumma Stealer adattolvaj – együttesen egy rendkívül hatékony és nehezen detektálható fenyegetést alkotnak, amely a modern kiberbűnözés iparosodott és szolgáltatásalapú jellegét tükrözi.

A kampányok léptéke riasztó: a JSFireTruck technika egyetlen hónap leforgása alatt több mint 269 000 egyedi weboldalt fertőzött meg, míg a HelloTDS infrastruktúra két hónap alatt több mint 4,3 millió felhasználó ellen indított támadást. Ez a volumen a támadások automatizált és üzletszerű működésére utal. A támadók kifinomult elkerülési (evasion) technikákat alkalmaznak, beleértve a

JSFuck kód-obfuszkációt, amely a rosszindulatú szkripteket olvashatatlanná teszi a statikus elemzők számára, valamint a kutatói és sandbox környezetek aktív szűrését, amely megnehezíti a fenyegetés elemzését.

A támadássorozat végső célja és a legfőbb kockázat a bizalmas adatok – böngészőben tárolt hitelesítő adatok, jelszavak, bankkártyaadatok, kriptovaluta-tárcák és kétfaktoros hitelesítési (2FA) tokenek – széleskörű ellopása a Lumma Stealer segítségével. Ez súlyos pénzügyi és reputációs károkat okozhat mind a szervezeteknek, mind a magánszemélyeknek.