Malware disfarçado de grandes empresas de criptomoedas tem como alvo mais de 10 milhões de pessoas em todo o mundo

A empresa de segurança Check Point alerta sobre um malware chamado JSCEAL que tem se passado por plataformas de criptomoedas para atrair milhões de vítimas para roubar dados relacionados a criptomoedas. Como funciona? Em uma recente publicação no blog, a Check Point Research notificou os traders de criptomoedas sobre uma ameaça online bastante nova que visa especificamente dados relacionados a criptomoedas, personificando aproximadamente 50 plataformas de criptomoedas, incluindo Binance, MetaMask, eToro, DEX Screener, Monero, Kraken e muitas outras. O malware chamado JSCEAL está ativo desde março de 2024, com atividade limitada, mas evoluiu para uma operação mais complexa. “Na fase mais recente da campanha, os agentes de ameaças adquiriram um grande número de domínios e adotaram técnicas distintas para evitar a detecção, incluindo, às vezes, evitar a implantação do payload final”, escreveu a empresa de segurança. A campanha de software malicioso produz anúncios de empresas de criptomoedas para atrair vítimas. Quando clicam nos anúncios, são levados a “sites de fachada” que os direcionam a instalar aplicativos falsos, acreditando que sejam as plataformas de criptomoedas reais usadas para negociação. Enquanto isso, os agentes maliciosos se infiltram no sistema da vítima e roubam seus dados relacionados a criptomoedas. “Durante o primeiro semestre de 2025, os agentes de ameaças promoveram cerca de 35.000 anúncios maliciosos, o que levou a alguns milhões de visualizações apenas na UE”, escreveu a Check Point em sua publicação no blog. De acordo com as estimativas da empresa de segurança, cada anúncio foi capaz de atingir pelo menos 100 usuários na União Europeia. Isso significa que, com 35.000 anúncios, os hackers foram capazes de atingir 3,5 milhões de usuários apenas na UE. Enquanto isso, a empresa não contabilizou os usuários fora da UE. Considerando que a base de usuários de mídia social em todo o mundo é muito maior do que a da UE, as empresas de segurança concluem que “o alcance global pode facilmente exceder 10 milhões [de pessoas]”. De acordo com a publicação no blog, a versão mais recente da campanha de malware implanta o que é chamado de “métodos anti-evasão exclusivos”, o que dificulta a detecção. Ao usar um site falso que os direciona a instalar o malware diretamente em seus dispositivos, a empresa de segurança disse que o método de dupla camada “complica significativamente os esforços de análise e detecção”. O JSCEAL usa a linguagem de programação JavaScript, bem como o que a empresa de segurança considera “combinação de código compilado e ofuscação pesada”. Desta forma, a vítima não precisa acionar o código para fazê-lo rodar. Além disso, o principal objetivo da campanha é roubar informações do dispositivo infestado e enviá-las para o servidor do hacker principal. Com base na análise da empresa, os invasores coletam “extensas informações da máquina”, que incluem localização, senhas de preenchimento automático, detalhes da rede, informações de e-mail e configuração de proxy. Além disso, se os invasores considerarem a vítima valiosa, eles adicionarão um código adicional que pode baixar e executar o “payload final” para roubar mais dados e possivelmente apagar todos e quaisquer vestígios do malware do sistema da vítima. No entanto, os usuários ainda podem usar software anti-malware para detectar execuções maliciosas e interromper ataques em andamento em dispositivos já infectados. [Check Point]