Des logiciels malveillants se faisant passer pour de grandes entreprises crypto ciblent plus de 10 millions de personnes dans le monde

La société de sécurité Check Point met en garde contre un malware nommé JSCEAL qui se fait passer pour des plateformes crypto afin d'attirer des millions de victimes pour voler des données liées à la crypto. Comment cela fonctionne-t-il ? Dans un récent article de blog, Check Point Research a averti les traders de crypto d'une menace assez nouvelle en ligne qui cible spécifiquement les données liées à la crypto en se faisant passer pour environ 50 plateformes crypto, notamment Binance, MetaMask, eToro, DEX Screener, Monero, Kraken, et bien d'autres. Le malware appelé JSCEAL est actif depuis mars 2024, avec une activité limitée, mais a évolué vers une opération plus complexe. « Dans la dernière phase de la campagne, les acteurs de la menace ont acquis un grand nombre de domaines et ont adopté des techniques distinctives pour échapper à la détection, notamment en évitant parfois de déployer la charge utile finale », a écrit la société de sécurité. La campagne de logiciels malveillants produit des publicités de sociétés crypto pour attirer les victimes. Lorsqu'elles cliquent sur les publicités, elles sont dirigées vers des « sites web leurres » qui les incitent à installer de fausses applications, en croyant qu'il s'agit des véritables plateformes crypto utilisées pour le trading. Pendant ce temps, les acteurs malveillants infiltrent le système de la victime et volent ses données liées à la crypto. « Au cours du premier semestre 2025, les acteurs de la menace ont diffusé environ 35 000 publicités malveillantes, ce qui a généré quelques millions de vues rien que dans l'UE », a écrit Check Point dans son article de blog. Selon les estimations de la société de sécurité, chaque publicité a pu atteindre au moins 100 utilisateurs dans l'Union européenne. Cela signifie qu'avec 35 000 publicités, les pirates ont pu atteindre 3,5 millions d'utilisateurs rien qu'au sein de l'UE. Parallèlement, la société n'a pas tenu compte des utilisateurs en dehors de l'UE. Considérant que la base d'utilisateurs des médias sociaux dans le monde est beaucoup plus importante que celle de l'UE, les sociétés de sécurité concluent que « la portée mondiale pourrait facilement dépasser les 10 millions [de personnes] ». Selon l'article de blog, la dernière version de la campagne de malware déploie ce que l'on appelle des « méthodes anti-évasion uniques » qui rendent la détection difficile. En utilisant un faux site web qui les dirige vers l'installation du malware directement dans leurs appareils, la société de sécurité a déclaré que la méthode à double niveau « complique considérablement les efforts d'analyse et de détection ». JSCEAL utilise le langage de programmation JavaScript, ainsi que ce que la société de sécurité considère comme une « combinaison de code compilé et de forte obfuscation ». De cette façon, la victime n'a pas besoin de déclencher le code pour le faire fonctionner. De plus, l'objectif principal de la campagne est de voler des informations à partir de l'appareil infesté et de les envoyer au serveur principal du pirate. D'après l'analyse de la société, les attaquants recueillent des « informations machine complètes », qui comprennent la localisation, les mots de passe de saisie semi-automatique, les détails du réseau, les informations de messagerie et la configuration du proxy. De plus, si les attaquants estiment que la victime est précieuse, ils ajouteront un code supplémentaire qui peut télécharger et exécuter la « charge utile finale » pour voler plus de données et éventuellement effacer toute trace du malware du système de la victime. Cependant, les utilisateurs peuvent toujours utiliser un logiciel anti-malware pour détecter les exécutions malveillantes et arrêter les attaques en cours sur un appareil déjà infecté. [Check Point]