Le logiciel malveillant JSCEAL, qui vole lesdent, pourrait avoir touché plus de 10 millions d'utilisateurs

D'après Check Point Research, une nouvelle campagne de logiciels malveillants JSCEAL imite 50 plateformes de cryptomonnaies populaires. Cette opération utilise des publicités malveillantes pour diffuser de fausses applications ciblant les utilisateurs.

On estime à 10 millions le nombre de personnes exposées à ces attaques dans le monde. La campagne exploite des fichiers JavaScript compilés pour voler efficacement les portefeuilles de cryptomonnaies et lesdent.

Une campagne publicitaire malveillante touche 10 millions d'utilisateurs

La campagne JSCEAL a permis de débusquer environ 35 000 publicités malveillantes au cours du premier semestre 2025. Celles-ci ont généré des millions de vues au sein de l’Union européenne. Selon Check Point Research, près de 10 millions de personnes dans le monde les auraient vues.

Des contenus malveillants ont été diffusés par des individus mal intentionnés via des comptes piratés ou de nouveaux profils. Des publications sponsorisées ont contribué à la diffusion de fausses publicités sur les réseaux sociaux. Ces publicités portaient principalement sur les cryptomonnaies, les jetons et les banques.

La campagne a été menée en utilisant près de 50 institutions financières différentes au moyen d'applications falsifiées. Les auteurs de la fraude ont enregistré des noms de domaine selon certaines conventions de dénomination pour la redirection. Les domaines de premier niveau comportaient l'extension .com, conformément à la terminologie en vigueur.

Les modèles présents dans le domaine incluaient les termes « app », « download », « desktop », « PC » et « window ». Chaque mot était utilisé individuellement ou au pluriel. L'analyse combinatoire révèle que 560 noms de domaine uniques respectent ces règles.

Seuls 15 % des domaines potentiels étaient enregistrés au moment de la publication. Les chaînes de redirection ont filtré les cibles en fonction de l'adresse IP et des sources de référence.

Les victimes situées en dehors des zones ciblées recevaient des sites web leurres au lieu de contenus malveillants. Une connexion Facebook était nécessaire pour rediriger correctement vers ces fausses pages. Le système de filtrage permettait aux attaquants d'échapper à la détection tout en atteignant leurs victimes cibles.

La bibliothèque publicitaire de Meta a fourni des estimations de la portée des publicités au sein de l'UE. Des calculs prudents supposent que chaque publicité a touché au moins 100 utilisateurs. La portée totale de la campagne a dépassé 3,5 millions de personnes à l'intérieur des frontières de l'Union européenne.

La portée mondiale pourrait facilement dépasser les 10 millions, en incluant les pays hors UE. Des institutions financières et de cryptomonnaies asiatiques ont également été usurpées lors de ces campagnes.

La campagne utilise des tactiques de tromperie sophistiquées pour éviter d'être détectée

La campagne JSCEAL utilise des méthodes anti-évasion sophistiquées, ce qui explique son taux de détection extrêmement faible. Selon une analyse de Check Point, le logiciel malveillant est resté indétecté pendant de longues périodes. Ces techniques permettent aux attaquants de contourner les mesures de sécurité traditionnelles sur de multiples plateformes.

Les victimes qui cliquent sur des publicités malveillantes sont redirigées vers de faux sites web d'apparence légitime. Ces sites incitent au téléchargement d'applications malveillantes qui semblent authentiques. Les attaquants conçoivent des sites web qui imitent fidèlement les interfaces de véritables plateformes de cryptomonnaies.

Le logiciel malveillant exploite le fonctionnement simultané du site web et du logiciel d'installation. Cette double approche complique l'analyse et la détection pour les chercheurs en sécurité. Les composants individuels paraissent inoffensifs lorsqu'ils sont examinés séparément, ce qui rend la détection difficile.

Cette technique de tromperie persuade les victimes qu'elles ont installé un logiciel authentique. Pendant ce temps, le logiciel malveillant fonctionne en arrière-plan, collectant des informations sensibles à l'insu des utilisateurs.

La campagne cible spécifiquement les utilisateurs de cryptomonnaies en usurpant l'identité des plateformes. Les attaquants privilégient les applications de trading et les logiciels de portefeuille les plus populaires. Les utilisateurs recherchant des outils légitimes pour leurs cryptomonnaies sont les plus vulnérables.

Les chercheurs de Check Point qualifient cette technique de contournement de la détection d'extrêmement efficace. Les logiciels de sécurité traditionnels peinent àdentles menaces utilisant ces méthodes. L'association d'interfaces d'apparence légitime et de logiciels malveillants dissimulés crée des situations dangereuses.

Les logiciels malveillants collectentmaticles données liées à la cryptographie et lesdentdes utilisateurs

Le but principal de ce logiciel malveillant est de collecter des informations sensibles sur les appareils infectés. Les attaquants collectent ces données pour accéder aux comptes de cryptomonnaies et voler des actifs numériques. La collecte d'informations s'effectue automatiquementmaticsans intervention ni prise de conscience de l'utilisateur.

JSCEAL capture les frappes au clavier, révélant les mots de passe etdentd'authentification de diverses applications. Cette fonction d'enregistrement de frappe enregistre tout ce que les utilisateurs saisissent, y compris les mots de passe de leurs portefeuilles de cryptomonnaies. JSCEAL cible également les informations des comptes Telegram en vue d'un éventuel piratage.

Ils collectent également les cookies de navigateur qui révèlent les sites web fréquemment visités et les préférences des victimes. Les mots de passe enregistrés dans la fonction de saisie automatique des navigateurs sont également accessibles aux cybercriminels.