JSFireTruck und HelloTDS: : JavaScript-Malware infiziert über 269.000 Websites in nur einem Monat
Eine neue Angriffswelle zeigt, wie perfide und effektiv moderne JavaScript-basierte Schadcode-Kampagnen geworden sind. Mit JSFireTruck und HelloTDS infiltrieren Cyberkriminelle legitime Webseiten, umgehen Schutzmechanismen und verteilen Malware im großen Stil – häufig ohne dass Website-Betreiber oder Besucher etwas davon bemerken.
Innerhalb nur eines Monats haben Sicherheitsforscher von Palo Alto Networks über 269.000 kompromittierte Webseiten identifiziert, die mit einer hochgradig verschleierten JavaScript-Malware infiziert wurden. Die Angriffswelle, die unter dem Codenamen JSFireTruck läuft, nutzt eine besonders schwierige Verschleierungstechnik namens JSFuck, um die schädliche Funktion des Codes zu verbergen. In Verbindung mit dem ausgefeilten Traffic-Distribution-System HelloTDS ergibt sich ein komplexes Bedrohungsszenario, das legitime Websites in großem Umfang als Angriffsplattform missbraucht.
JSFireTruck: Obfuskation mit JSFuck zur Tarnung von Redirects
JSFireTruck steht für eine Form der absichtlichen Unkenntlichmachung von JavaScript-Quellcode, die auf einer extrem eingeschränkten Zeichenauswahl basiert – konkret nur auf Symbolen wie [ ] + $ { }. Ursprünglich als Programmierexperiment konzipiert, wird diese Technik inzwischen zur Tarnung bösartiger Skripte verwendet.
Der injizierte Code prüft beim Laden einer Webseite den HTTP-Referrer (document.referrer) und analysiert, ob der Seitenaufruf über Suchmaschinen wie Google, Bing, Yahoo, AOL oder DuckDuckGo erfolgt ist. Ist dies der Fall, erfolgt eine automatische Weiterleitung auf schädliche Zielseiten. Je nach Umgebung werden dort Exploit-Kits, Malware, Fake-Updater, Krypto-Betrug oder Werbemüll (Malvertising) ausgeliefert.
Zwischen dem 26. März und 25. April 2025 registrierte das Unit-42-Team über 269.552 kompromittierte Seiten, mit einem auffälligen Peak am 12. April, als über 50.000 infizierte Webseiten innerhalb eines Tages entdeckt wurden.
HelloTDS: Ein intelligentes Redirect-System für gezielte Angriffe
Parallel zu JSFireTruck wurde auch ein ausgeklügeltes Traffic Distribution System (TDS) namens HelloTDS analysiert. Dieses System verteilt Besucherströme abhängig von Fingerprinting-Ergebnissen auf verschiedene Zielseiten – von Fake-CAPTCHA-Seiten bis hin zu gefälschten Browser-Updates, Scareware-Support-Seiten, Krypto-Betrugsangeboten und schädlichen Browser-Erweiterungen.
Das Entscheidende: HelloTDS entscheidet in Echtzeit, ob ein Besucher „lohnenswert“ ist. Faktoren wie IP-Adresse, Geolokalisierung, VPN-Nutzung, Browser-Typ und Headless-Detection fließen in die Bewertung ein. Nur bei passenden Zielprofilen wird Schadcode nachgeladen. Sicherheitsforscher und Sandboxing-Umgebungen werden durch Tarninhalte oder Redirects auf harmlose Seiten gezielt umgangen.
Die Schadsoftware dahinter: PEAKLIGHT und Lumma Stealer
Ein häufig genutztes Angriffsmittel innerhalb der HelloTDS-Kette ist PEAKLIGHT (auch bekannt als Emmenthal Loader), ein modularer Downloader, der unter anderem den bekannten Lumma Stealer nachlädt. Dieser spezialisiert sich auf das Stehlen sensibler Informationen wie:
- Zugangsdaten aus Browsern
- Wallet-Informationen
- Cookies und Sitzungstokens
- Autovervollständigungseinträge
Typisch für die Angriffe sind Fake-CAPTCHA-Seiten, die Nutzer mithilfe der ClickFix-Methode dazu bringen, per Mausklick Schadcode lokal auszuführen – unter dem Vorwand, ihre Identität zu bestätigen.
Infrastruktur & Domains: Taktik mit Top-Level-Domains
Die zugrunde liegende Infrastruktur nutzt hauptsächlich .top, .shop und .com-Domains, um die JavaScript-Dateien bereitzustellen und die Weiterleitungen zu koordinieren. Die Technik hinter den gefälschten CAPTCHA-Seiten zeigt, wie raffiniert Angreifer inzwischen vorgehen: Sie umgehen klassische Schutzsysteme, bleiben unentdeckt und wählen ihre Opfer gezielt aus
Palo Alto Networks warnt: „Diese Kampagnen kombinieren gezieltes Fingerprinting, flexible Domainstrukturen und clevere Täuschung – zum Beispiel indem sie echten Webseiten ähneln und Sicherheitsforschern nur harmlose Inhalte zeigen. So bleiben die Angriffe unbemerkt und können gleichzeitig viele Nutzer erreichen.“
Was Unternehmen jetzt tun sollten
Die neue Angriffswelle macht deutlich, wie wichtig präventive und detektierende Maßnahmen im Webumfeld sind – sowohl für Betreiber von Webseiten als auch für Endnutzer und IT-Sicherheitsverantwortliche:
- Regelmäßige Code-Integritätsprüfungen auf Webseiten, insbesondere bei eingebundenem JavaScript aus Drittquellen
- CSP-Header (Content Security Policy) konsequent nutzen, um nicht autorisierte Skriptausführung zu verhindern
- Monitoring von Redirects und Domainanfragen über Webproxies und DNS-Logging
- Verhaltensbasierte Erkennungssysteme implementieren, die dynamisches Fingerprinting aufdecken können
- Schulung von Mitarbeitenden zur Erkennung von Phishing- und Fake-Support-Seiten
JavaScript als Waffe – unterschätzt, aber höchst effektiv
Die Angriffe rund um JSFireTruck und HelloTDS zeigen, wie flexibel und gefährlich scheinbar banaler JavaScript-Code sein kann. Durch kreative Tarnmethoden und gezielte Zielgruppenansprache heben Cyberkriminelle ihre Angriffe auf ein neues Level – und nutzen legitime Webseiten als ungewollte Komplizen.
Betreiber dynamischer Webangebote sind gefordert, nicht nur Funktionalität und Performance im Blick zu haben, sondern auch den Codefluss, die Integrität und das Verhalten eingebundener Inhalte kontinuierlich zu überwachen. Denn wer seine Webseite nicht kontrolliert, kontrolliert letztlich auch nicht mehr, welche Risiken von ihr ausgehen.