偽裝成主要加密貨幣公司的惡意軟體，目標鎖定全球超過 1,000 萬人

安全公司 Check Point 警告稱，一種名為 JSCEAL 的惡意軟體正在冒充加密貨幣平台，以誘騙數百萬受害者竊取加密貨幣相關數據，它是如何運作的？在最近的一篇部落格文章中，Check Point Research 通知加密貨幣交易者，網路上存在一種相當新穎的威脅，該威脅專門針對加密貨幣相關數據，方法是冒充大約 50 個加密貨幣平台，包括 Binance、MetaMask、eToro、DEX Screener、Monero、Kraken 等等。名為 JSCEAL 的惡意軟體自 2024 年 3 月以來一直活躍，活動有限，但已演變成更複雜的行動。該安全公司寫道：「在該活動的最新階段，威脅行為者獲得了大量網域，並採取了獨特的技術來逃避偵測，包括有時避免部署最終有效載荷。」惡意軟體活動會製作加密貨幣公司的廣告來誘騙受害者。當他們點擊廣告時，他們會被引導到「誘餌網站」，這些網站會引導他們安裝假應用程式，並認為這些應用程式是用於交易的真實加密貨幣平台。與此同時，惡意行為者會滲透受害者的系統並竊取其加密貨幣相關數據。Check Point 在其部落格文章中寫道：「在 2025 年上半年，威脅行為者發布了大約 35,000 個惡意廣告，僅在歐盟就產生了數百萬次的瀏覽量。」根據該安全公司的估計，每個廣告至少能夠觸及歐盟的 100 名用戶。這意味著透過 35,000 個廣告，駭客僅在歐盟就能觸及 350 万用戶。與此同時，該公司尚未考慮歐盟以外的用戶。考慮到全球社交媒體用戶群比歐盟大得多，該安全公司得出結論：「全球觸及人數很容易超過 1,000 万人。」根據該部落格文章，最新版本的惡意軟體活動部署了一種所謂的「獨特的防規避方法」，這使得它難以偵測。該安全公司表示，透過使用一個假網站，引導他們將惡意軟體直接安裝到他們的設備中，這種雙層方法「大大複雜了分析和偵測工作」。JSCEAL 使用程式語言 JavaScript，以及該安全公司認為的「編譯程式碼和大量混淆的組合」。這樣，受害者不需要觸發程式碼即可使其運行。此外，該活動的主要目的是從受感染的設備竊取資訊並將其發送到主要駭客的伺服器。根據該公司的分析，攻擊者會收集「廣泛的機器資訊」，其中包括位置、自動完成密碼、網路詳細資訊、電子郵件資訊和代理配置。此外，如果攻擊者認為受害者有價值，他們將添加額外的程式碼，該程式碼可以下載並執行「最終有效載荷」，以竊取更多數據，並可能從受害者的系統中刪除任何和所有惡意軟體的痕跡。但是，用戶仍然可以使用反惡意軟體來偵測惡意執行並阻止對已感染設備的持續攻擊。[Check Point]