Sucuriは2月9日(米国時間)、「JavaScript Injections Leads to Tech Support Scam」において、最近のマルウェア調査の結果、URLネーム変換と画像ファイルを使うことで人気のあるソーシャル共有プラグインの一部であるかのようにふるまうように難読化された興味深いJavaScriptコードのマルウェアを発見したと伝えた。このJavaScriptコードはAddThisソーシャル共有プラグインの一部であるかのようにふるまうように細工されていると説明がある。
記事で取り上げられているマルウェアは、最終的にWebサイトを訪れたユーザーを危険性の高いマルウェアへ感染するように促すように仕込まれたサイトへリダイレクトするとされている。このマルウェアは自身がマルウェアであることを悟られないように複数のレイヤで巧みにふるまうとのことで注意が必要。
さまざまな工程で発見されないように工夫されており、例えばマルウェアコードの配信には細工されたPNG画像を使うという。まず、Webブラウザからのアクセスでは取得できない状態に設定されており、それをかいくぐって画像データを取得しても偽の画像データが表示される仕組みになっている。実際のコードは表示される画像データの奥に仕込まれており、マルウェアはそこからマルウェアとして動作するコードを抜き出して利用するとされている。仕込まれているコード自体はマルウェアによくあるものだといった説明もある。