Ця атака базується на техніці JSFuck, де код записано лише за допомогою символів [, ], +, $, {, }. Така нестандартна форма дозволяє зловмисникам ховати шкідливий функціонал та ускладнює аналіз.
JSFireTruck спрацьовує, якщо реферером є Google, Bing, DuckDuckGo, Yahoo! чи AOL — користувач миттєво перенаправляється на шкідливу сторінку. Там його чекають:
- малваре та експлойти,
- шахрайські оновлення браузера,
- фейкові техпідтримки,
- криптовалютні афери.
Пік заражень було зафіксовано 12 квітня 2025 року — понад 50 000 сайтів лише за один день. Загалом за місяць було зафіксовано 269 552 зараження.
Паралельно дослідники з Gen Digital виявили нову TDS-платформу HelloTDS, яка використовує JavaScript для умовного перенаправлення на фейкові сторінки CAPTCHA, інсталяції небажаних розширень або запуску шкідливих скриптів. HelloTDS виконує повне браузерне та геолокаційне відстеження, аналізує IP, використовує скрипти на .top, .shop, .com-доменах і відхиляє доступ користувачів із VPN чи headless-браузерами.
Кампанії JSFireTruck і HelloTDS демонструють високий рівень автоматизації та адаптивності. Їхній успіх — у комбінації складної обфускації, динамічних редиректів та багаторівневої фільтрації користувачів. Це вкотре підкреслює: класичні антивіруси безсилі проти складних браузерних атак. Захист має починатись із моніторингу поведінки коду та аналізу скриптів у реальному часі.
