Un’operazione hacker su larga scala ha colpito oltre 150.000 siti web attraverso un JavaScript che reindirizzava il traffico degli utenti verso piattaforme di gioco cinesi.
L’attacco, rilevato per la prima volta a febbraio 2025 con circa 35.000 siti compromessi, ha registrato un’escalation significativa nel mese di marzo. Gli hacker hanno utilizzato JavaScript per manipolare la navigazione degli utenti.
I cybercriminali hanno inserito codice JavaScript codificato in HTML entities o esadecimale per eludere i sistemi di sicurezza. Il codice verifica la presenza di parole chiave legate al gioco (come “Bet365”) nei titoli delle pagine e, se rilevate, attiva un overlay a schermo intero attraverso un iframe. Questo stratagemma consente di ingannare gli utenti, riproducendo fedelmente l’aspetto di noti siti di scommesse.
Il traffico viene dirottato su domini intermedi come zuizhongyj.com, che successivamente reindirizzano gli utenti verso piattaforme di gioco come W88in.com e lucky298.com.
L’attacco è mirato principalmente a utenti residenti in Cina, Hong Kong e Stati Uniti, con alcune restrizioni geografiche per evitare rilevamenti da altre regioni. Gli esperti attribuiscono la campagna a gruppi associati a Megalayer, noto per la distribuzione di malware cinesi.
La campagna ha sfruttato tecniche avanzate di offuscamento lato client, tra cui l’inserimento dinamico di tag viewport per ottimizzare la visualizzazione su dispositivi mobili. Secondo i dati di PublicWWW, al momento risultano attivi oltre 135.800 siti infetti, evidenziando l’ampiezza del fenomeno. lp/AGIMEG
