Check Point Researchによると、新たなJSCEALマルウェア攻撃キャンペーンは、50の人気暗号資産プラットフォームを模倣している。この攻撃は、悪意のある広告を利用して、ユーザーを標的とした偽のアプリケーションを配布している。.
世界中で推定1,000万人が攻撃にさらされています。この攻撃では、コンパイルされたJavaScriptファイルを利用して、暗号通貨ウォレットやdent情報を効率的に盗みます。.
悪質な広告キャンペーンが1000万人のユーザーに到達
JSCEALキャンペーンは、 2025年上半期にの悪意のある広告
悪意のある人物は、乗っ取られたアカウントや新規アカウントを利用して、悪意のあるコンテンツを共有しました。プロモーション投稿は、ソーシャルメディア上での偽広告の拡散を助長しました。これらの広告は主に暗号通貨、トークン、銀行に関するものでした。.
このキャンペーンは、約50の金融機関を偽装したアプリケーションを使って実行されました。攻撃者は、リダイレクト用の命名規則に従ってドメイン名を登録しました。トップレベルドメインには、対応する用語に従って.com拡張子が含まれていました。.
ドメイン内のパターンには、アプリ、ダウンロード、デスクトップ、PC、ウィンドウバージョンなどが含まれていました。各単語は、ドメイン内で単独または複数形で使用されていました。組み合わせ論により、ルールに準拠する固有のドメイン名が560個あることが示されました。.
記事公開時点で登録されている可能性のあるドメインはわずか15%でした。リダイレクトチェーンは、IPアドレスとリファラーソースに基づいてターゲットをフィルタリングしていました。.
対象範囲外の被害者には、悪意のあるコンテンツではなく、偽のウェブサイトが表示されました。偽のページへのリダイレクトには、Facebookのリファラーが必要でした。フィルタリングシステムにより、攻撃者は標的の被害者に到達するまで検出を回避できました。.
Metaの広告ライブラリは、EU内での広告リーチの推定値を提供しました。控えめな計算では、各広告が少なくとも100人のユーザーにリーチすると想定しています。キャンペーンの総リーチは、EU域内で350万人を超えました。.
EU圏外の国々も含めると、世界規模で1,000万人を超える可能性があります。アジアの暗号通貨や金融機関も、この攻撃キャンペーンでなりすまされていました。.
キャンペーンは検出を避けるために高度な欺瞞戦術を使用している
JSCEALキャンペーンは特定の回避対策手法を用いており、その結果、検出率が極めて低くなっています。チェック・ポイントの分析によると、このマルウェアは長期間にわたり検出されずにいました。これらの高度な手法により、攻撃者は複数のプラットフォームで従来のセキュリティ対策を回避することができます。.
悪意のある広告をクリックした被害者は、本物に見える偽のウェブサイトに誘導されます。偽のウェブサイトは、本物のように見える悪意のあるアプリケーションのダウンロードを促します。攻撃者は、本物の暗号通貨プラットフォームのインターフェースを忠実に模倣したウェブサイトを設計します。.
このマルウェアは、ウェブサイトとインストールソフトウェアの同時動作を利用しています。この二重のアプローチは、セキュリティ研究者による分析と検出作業を複雑化させます。個々のコンポーネントは個別に調査すると無害に見えるため、検出が困難になっています。.
この欺瞞戦術は、被害者に正規のソフトウェアをインストールしたと信じ込ませます。その間、マルウェアはバックグラウンドで動作し、ユーザーに知られることなく機密情報を収集します。.
このキャンペーンは、プラットフォームのなりすまし戦術を用いて、特に暗号通貨ユーザーを標的としています。攻撃者は、人気の取引アプリケーションやウォレットソフトウェアに重点を置いています。正規の暗号通貨ツールを求めるユーザーが、このキャンペーンの影響を最も受けやすい状況でした。.
チェック・ポイントの研究者は、この検出回避策は非常に効果的だと説明しています。従来のセキュリティソフトウェアでは、これらの手法を用いた脅威をdentことが困難です。正規のインターフェースに見えるインターフェースと隠れたマルウェアの組み合わせは、危険なシナリオを生み出します。.
このマルウェアの主な目的は、感染したデバイスから機密情報を収集することです。攻撃者は、暗号通貨アカウントにアクセスし、ユーザーの操作や意識を必要とせずにmatic行われます
JSCEALはキーボード入力をキャプチャし、アプリケーション間でパスワードや認証情報を取得しdent。キーロギング機能は、仮想通貨ウォレットのパスワードを含む、ユーザーが入力したすべての情報を記録します。また、アカウント乗っ取りの可能性もあるため、Telegramアカウント情報も標的にしています。.
また、被害者が頻繁にアクセスするウェブサイトや設定を示すブラウザCookieも収集します。ブラウザに保存されているオートコンプリートパスワードも、脅威アクターのアクセス対象となります。.
