Вредоносное ПО, маскирующееся под крупные криптофирмы, нацелено на более чем 10 миллионов человек по всему миру

Фирма по безопасности Check Point предупреждает о вредоносном ПО под названием JSCEAL, которое выдает себя за криптоплатформы, чтобы заманить миллионы жертв для кражи данных, связанных с криптовалютой. Как это работает? В недавнем сообщении в блоге Check Point Research уведомила криптотрейдеров о довольно новой онлайн-угрозе, которая специально нацелена на данные, связанные с криптовалютой, путем выдачи себя примерно за 50 криптоплатформ, включая Binance, MetaMask, eToro, DEX Screener, Monero, Kraken и многие другие. Вредоносное ПО под названием JSCEAL активно с марта 2024 года, с ограниченной активностью, но превратилось в более сложную операцию. «На последнем этапе кампании злоумышленники приобрели большое количество доменов и приняли отличительные методы для уклонения от обнаружения, включая иногда отказ от развертывания окончательной полезной нагрузки», — написала фирма по безопасности. Кампания вредоносного ПО создает рекламу криптофирм, чтобы заманить жертв. Когда они нажимают на рекламу, они попадают на «сайты-приманки», которые направляют их к установке поддельных приложений, полагая, что это настоящие криптоплатформы, используемые для торговли. Тем временем злоумышленники проникают в систему жертвы и крадут их данные, связанные с криптовалютой. «В течение первой половины 2025 года злоумышленники продвигали около 35 000 вредоносных рекламных объявлений, которые привели к нескольким миллионам просмотров только в ЕС», — написала Check Point в своем блоге. Согласно оценкам фирмы по безопасности, каждое объявление смогло охватить не менее 100 пользователей в Европейском Союзе. Это означает, что с 35 000 объявлений хакеры смогли охватить 3,5 миллиона пользователей только в ЕС. Между тем, фирма не учитывала пользователей за пределами ЕС. Учитывая, что база пользователей социальных сетей во всем мире намного больше, чем в ЕС, фирмы по безопасности заключают, что «глобальный охват может легко превысить 10 миллионов [человек]». Согласно сообщению в блоге, последняя версия кампании вредоносного ПО развертывает так называемые «уникальные методы защиты от уклонения», которые затрудняют обнаружение. Используя поддельный веб-сайт, который направляет их к установке вредоносного ПО непосредственно на свои устройства, фирма по безопасности заявила, что двухслойный метод «значительно усложняет анализ и усилия по обнаружению». JSCEAL использует язык программирования JavaScript, а также то, что фирма по безопасности считает «комбинацией скомпилированного кода и сильной обфускации». Таким образом, жертве не нужно запускать код, чтобы он заработал. Более того, основная цель кампании — украсть информацию с зараженного устройства и отправить ее на главный сервер хакера. Основываясь на анализе фирмы, злоумышленники собирают «обширную информацию о машине», которая включает местоположение, пароли автозаполнения, сетевые данные, информацию об электронной почте и конфигурацию прокси-сервера. Кроме того, если злоумышленники сочтут жертву ценной, они добавят дополнительный код, который может загрузить и выполнить «окончательную полезную нагрузку», чтобы украсть больше данных и, возможно, стереть любые следы вредоносного ПО из системы жертвы. Однако пользователи по-прежнему могут использовать антивирусное программное обеспечение для обнаружения вредоносных исполнений и остановки текущих атак на уже зараженное устройство. [Check Point]