این کدها با استفاده از تکنیکی مبهم و پیشرفته که تنها از مجموعه‌ای محدود از کاراکترها برای نوشتن و اجرای کد بهره می‌گیرد، به صفحات اینترنتی تزریق شده‌اند.بررسی‌های کارشناسان نشان می‌دهد که این کدهای مخرب در وب‌سایت‌های متعددی یافت شده‌اند و عملکرد آن‌ها به گونه‌ای طراحی شده است که هنگام استفاده کاربران از موتورهای جستجو نظیر گوگل، بینگ، داک‌داک‌گو، یاهو و AOL، آن‌ها را به آدرس‌های اینترنتی (URL) آلوده هدایت می‌کنند. این صفحات می‌توانند با نصب بدافزار، بهره‌برداری از آسیب‌پذیری‌های امنیتی یا سوءاستفاده از ترافیک برای نمایش تبلیغات جعلی، کاربران را در معرض تهدیدهای جدی قرار دهند.

مطابق داده‌های ارائه‌شده، از تاریخ ۲۶ مارس تا ۲۵ آوریل سال جاری، بیش از ۲۶۹ هزار و ۵۵۲ صفحه وب به این بدافزار آلوده شده‌اند. اوج فعالیت این کمپین در تاریخ ۱۲ آوریل (۲۳ فروردین) ثبت شده است؛ روزی که بیش از ۵۰ هزار صفحه آلوده تنها در یک روز شناسایی شده‌اند.

همزمان، محققان موفق به شناسایی یک سرویس پیچیده توزیع ترافیک با نام HelloTDS شده‌اند. این سرویس به‌منظور هدایت هدفمند کاربران به صفحات جعلی CAPTCHA، به‌روزرسانی‌های ساختگی، افزونه‌های ناخواسته مرورگر و حتی کلاهبرداری‌های مرتبط با ارزهای دیجیتال طراحی شده و از طریق کدهای جاوا اسکریپت آلوده که در وب‌سایت‌های مشروع تزریق شده‌اند، فعالیت می‌کند.

تحلیل‌ها نشان می‌دهد که هسته اصلی این حملات، متکی بر دامنه‌هایی با پسوندهای “.top”، “.shop” و “.com” است. این دامنه‌ها برای میزبانی کدهای آلوده و همچنین ایجاد مسیرهای تغییر جهت (Redirect) پس از جمع‌آوری اطلاعات مرتبط با مرورگر و شبکه کاربر به‌کار گرفته می‌شوند.

در این کمپین‌ها از روش‌های پیشرفته‌ای همچون انگشت‌نگاری پیچیده (Advanced Fingerprinting)، زیرساخت دامنه‌های پویا و تقلید هوشمندانه از وب‌سایت‌های معتبر استفاده شده تا محتوای گمراه‌کننده و جعلی را به‌طور هدفمند به بازدیدکنندگان نمایش دهند و بدین ترتیب، گستره‌ای وسیع از کاربران را در معرض خطر قرار دهند./ایتنا