Il malware JSCEAL che ruba ledentpotrebbe essersi diffuso a oltre 10 milioni di utenti

Secondo Check Point Research, una nuova campagna malware JSCEAL imita 50 popolari piattaforme crittografiche. L'operazione utilizza pubblicità dannose per distribuire applicazioni false che prendono di mira gli utenti.

Si stima che circa 10 milioni di persone in tutto il mondo siano state esposte ad attacchi. La campagna sfrutta file JavaScript compilati per rubare efficacemente portafogli edentdi criptovaluta.

La campagna pubblicitaria dannosa raggiunge 10 milioni di utenti

La campagna JSCEAL ha smascherato circa 35.000 annunci pubblicitari dannosi nella prima metà del 2025, ottenendo milioni di visualizzazioni nell'Unione Europea. Check Point Research ritiene che circa 10 milioni di persone abbiano visualizzato questi annunci in tutto il mondo.

Il materiale dannoso veniva condiviso da malintenzionati su account dirottati o nuovi profili. I post sponsorizzati contribuivano alla distribuzione di annunci pubblicitari falsi sui social media. Gli annunci pubblicitari parlavano principalmente di criptovalute, token e banche.

La campagna è stata condotta utilizzando quasi 50 diversi istituti finanziari con applicazioni contraffatte. I malintenzionati hanno registrato nomi di dominio utilizzando alcune convenzioni di denominazione per il reindirizzamento. I domini di primo livello contenevano l'estensione .com, in conformità con la terminologia corrispondente.

I modelli nel dominio includevano le versioni app, download, desktop, PC e Windows. Ogni parola era usata singolarmente o al plurale nei domini. L'analisi combinatoria mostra che ci sono 560 nomi di dominio univoci conformi alle regole.

Solo il 15% dei potenziali domini risultava registrato al momento della pubblicazione. Le catene di reindirizzamento filtravano i target in base all'indirizzo IP e alle fonti di riferimento.

Le vittime al di fuori dei limiti desiderati ricevevano siti web esca invece di contenuti dannosi. Per il reindirizzamento a pagine false era necessario il referrer di Facebook. Il sistema di filtraggio ha aiutato gli aggressori a evitare il rilevamento mentre raggiungevano le loro vittime target.

L'Ad Library di Meta ha fornito stime sulla portata degli annunci pubblicitari all'interno dell'UE. Calcoli prudenti presuppongono che ogni annuncio abbia raggiunto almeno 100 utenti. La portata totale della campagna ha superato i 3,5 milioni di utenti all'interno dei confini dell'Unione Europea.

La portata globale potrebbe facilmente superare i 10 milioni, considerando i paesi extra-UE. Anche istituzioni finanziarie e crypto asiatiche sono state impersonate nelle campagne.

La campagna utilizza sofisticate tattiche di inganno per evitare di essere scoperta

La campagna JSCEAL utilizza alcuni metodi anti-evasione, che si traducono in tassi di rilevamento estremamente bassi. Secondo l'analisi di Check Point, il malware è rimasto inosservato per lunghi periodi. Queste tecniche sofisticate aiutano gli aggressori a bypassare le misure di sicurezza tradizionali su più piattaforme.

Le vittime che cliccano su annunci pubblicitari dannosi vengono indirizzate a siti web falsi dall'aspetto legittimo. I siti falsi incoraggiano il download di applicazioni dannose che sembrano autentiche. Gli aggressori progettano siti web che imitano fedelmente le interfacce delle piattaforme di criptovalute reali.

Il malware sfrutta il funzionamento simultaneo del sito web e del software di installazione. Questo duplice approccio complica gli sforzi di analisi e rilevamento per i ricercatori di sicurezza. I singoli componenti sembrano innocui se esaminati separatamente, rendendone difficile il rilevamento.

Questa tattica ingannevole convince le vittime di aver installato un software autentico. Nel frattempo, il malware opera in background, raccogliendo informazioni sensibili all'insaputa degli utenti.

La campagna prende di mira specificamente gli utenti di criptovalute attraverso tattiche di impersonificazione della piattaforma. Gli aggressori si concentrano su applicazioni di trading e software di portafoglio molto diffusi. Gli utenti alla ricerca di strumenti di criptovaluta legittimi sono stati i più vulnerabili alla campagna.

I ricercatori di Check Point descrivono l'elusione del rilevamento come altamente efficace. I software di sicurezza tradizionali faticano adentle minacce utilizzando questi metodi. La combinazione di interfacce dall'aspetto legittimo e malware nascosto crea scenari pericolosi.

Il malware raccogliematicdati relativi alla crittografia edentutente

Lo scopo principale del malware è raccogliere informazioni sensibili dai dispositivi infetti. Gli aggressori raccolgono dati per accedere agli account di criptovalute e rubare risorse digitali. La raccolta delle informazioni avvienematic, senza richiedere l'interazione o la consapevolezza dell'utente.

JSCEAL cattura gli input da tastiera, rivelando password edentdi autenticazione in tutte le applicazioni. La funzionalità di keylogging registra tutto ciò che gli utenti digitano, comprese le password dei wallet di criptovalute. Inoltre, prende di mira le informazioni dell'account Telegram per un potenziale furto.

Raccolgono anche cookie del browser che mostrano i siti web visitati più di frequente dalle vittime e le loro preferenze. Anche le password di completamento automatico memorizzate nei browser sono accessibili agli autori della minaccia.