Laut Check Point Research ahmt eine neue Malware-Kampagne namens JSCEAL 50 gängige Krypto-Plattformen nach. Die Kampagne nutzt schädliche Werbung, um gefälschte Anwendungen zu verbreiten und gezielt Nutzer anzusprechen.
Schätzungsweise 10 Millionen Menschen weltweit sind von diesen Angriffen betroffen. Die Kampagne nutzt kompilierte JavaScript-Dateien, um Kryptowährungs-Wallets unddenteffektiv zu stehlen.
Bösartige Werbekampagne erreicht 10 Millionen Nutzer
Die JSCEAL-Kampagne deckte im ersten Halbjahr 2025 rund 35.000 schädliche Werbeanzeigen . Diese erzielten allein in der Europäischen Union Millionen von Aufrufen. Check Point Research geht davon aus, dass weltweit rund 10 Millionen Menschen diese Anzeigen gesehen haben.
Schädliches Material wurde von Akteuren mit böswilligen Absichten über gehackte oder neu erstellte Konten verbreitet. Gesponserte Beiträge halfen bei der Verbreitung gefälschter Werbung in sozialen Medien. Die Werbung bezog sich hauptsächlich auf Kryptowährungen, Token und Banken.
Die Kampagne wurde mit gefälschten Anträgen von fast 50 verschiedenen Finanzinstituten durchgeführt. Die Angreifer registrierten Domainnamen nach bestimmten Namenskonventionen zur Weiterleitung. Die Top-Level-Domains enthielten die Endung .com, entsprechend der entsprechenden Terminologie.
Die Muster im Domainbereich umfassten App-, Download-, Desktop-, PC- und Windows-Versionen. Jedes Wort wurde in den Domains sowohl im Singular als auch im Plural verwendet. Kombinatorische Analysen zeigen, dass es 560 eindeutige Domainnamen gibt, die den Regeln entsprechen.
Nur 15 % der potenziellen Domains waren zum Zeitpunkt der Veröffentlichung registriert. Weiterleitungsketten filterten die Zieldomains anhand der IP-Adresse und der Referrer-Quelle.
Opfer außerhalb des gewünschten Bereichs erhielten statt schädlicher Inhalte gefälschte Webseiten. Für die erfolgreiche Weiterleitung auf diese Seiten waren Facebook-Referrer erforderlich. Das Filtersystem half Angreifern, unentdeckt zu bleiben und ihre Zielopfer zu erreichen.
Die Werbebibliothek von Meta lieferte Schätzungen zur Reichweite der Anzeigen innerhalb der EU. Konservative Berechnungen gehen davon aus, dass jede Anzeige mindestens 100 Nutzer erreichte. Die Kampagne erzielte insgesamt eine Reichweite von über 3,5 Millionen innerhalb der Europäischen Union.
Die globale Reichweite könnte, unter Berücksichtigung von Ländern außerhalb der EU, leicht 10 Millionen übersteigen. Auch asiatische Krypto- und Finanzinstitute wurden in den Kampagnen imitiert.
Die Kampagne nutzt ausgeklügelte Täuschungstaktiken, um nicht entdeckt zu werden
Die JSCEAL-Kampagne nutzt spezielle Anti-Evasionsmethoden, was zu extrem niedrigen Erkennungsraten führt. Laut einer Analyse von Check Point blieb die Malware über lange Zeiträume unentdeckt. Diese ausgeklügelten Techniken ermöglichen es Angreifern, herkömmliche Sicherheitsmaßnahmen auf verschiedenen Plattformen zu umgehen.
Opfer, die auf schädliche Werbeanzeigen klicken, werden auf täuschend echt wirkende gefälschte Webseiten weitergeleitet. Diese gefälschten Seiten fordern zum Herunterladen schädlicher Anwendungen auf, die authentisch wirken. Angreifer gestalten Webseiten so, dass sie die Benutzeroberflächen echter Kryptowährungsplattformen täuschend echt imitieren.
Die Schadsoftware nutzt den gleichzeitigen Betrieb der Website und der Installationssoftware. Dieser zweigleisige Ansatz erschwert die Analyse und Erkennung für Sicherheitsforscher. Einzelne Komponenten erscheinen bei isolierter Betrachtung harmlos, was die Erkennung zusätzlich erschwert.
Diese Täuschungstaktik gaukelt den Opfern vor, sie hätten authentische Software installiert. Währenddessen läuft die Schadsoftware im Hintergrund und sammelt unbemerkt sensible Daten.
Die Kampagne zielt gezielt auf Kryptowährungsnutzer ab und nutzt dafür Plattformen imitieren. Angreifer konzentrieren sich auf beliebte Handelsanwendungen und Wallet-Software. Besonders gefährdet waren Nutzer, die nach legitimen Krypto-Tools suchten.
Die Forscher von Check Point beschreiben die Umgehung der Erkennungserkennung als äußerst effektiv. Herkömmliche Sicherheitssoftware hat Schwierigkeiten, Bedrohungen mit diesen Methoden zudent. Die Kombination aus legitim wirkenden Benutzeroberflächen und versteckter Schadsoftware schafft gefährliche Szenarien.
Die Malware dient primär dem Sammeln sensibler Daten von infizierten Geräten. Angreifer nutzen diese Daten, um auf Kryptowährungskonten zuzugreifen und digitale Vermögenswerte zu stehlen. Die Datenerfassung erfolgt automatisch, matic dass der Nutzer eingreifen oder davon Kenntnis erlangen muss.
JSCEAL zeichnet Tastatureingaben auf und legt so Passwörter unddentverschiedener Anwendungen offen. Die Keylogging-Funktion protokolliert alles, was Nutzer tippen, einschließlich Passwörter für Krypto-Wallets. Zudem zielen sie auf Telegram-Kontoinformationen ab, um Konten potenziell zu übernehmen.
Sie sammeln außerdem Browser-Cookies, die Aufschluss über die häufig besuchten Websites und Präferenzen der Opfer geben. Auch die im Browser gespeicherten Autovervollständigungspasswörter sind für Angreifer zugänglich.
