체크포인트 리서치에 따르면, 새로운 JSCEAL 멀웨어 캠페인은 50개의 인기 암호화 플랫폼을 모방합니다. 이 공격은 악성 광고를 이용하여 사용자를 대상으로 가짜 애플리케이션을 배포합니다.
전 세계적으로 약 1천만 명이 이러한 공격에 노출된 것으로 추산됩니다. 이 공격은 컴파일된 자바스크립트 파일을 악용하여 암호화폐 지갑과dent증명을 효과적으로 탈취합니다.
악의적인 광고 캠페인이 1천만 명의 사용자에게 도달했습니다
JSCEAL 캠페인은 2025년 상반기에 악성 광고를
악의적인 행위자들이 탈취한 계정이나 새로 생성된 프로필을 통해 악성 콘텐츠를 공유했습니다. 홍보 게시물은 소셜 미디어에서 가짜 광고를 유포하는 데 이용되었습니다. 이러한 광고는 주로 암호화폐, 토큰, 은행에 관한 내용을 다루었습니다.
이 캠페인은 약 50개의 다양한 금융 기관을 사칭한 애플리케이션을 사용하여 진행되었습니다. 악의적인 공격자들은 리디렉션을 위해 특정 명명 규칙에 따라 도메인 이름을 등록했습니다. 최상위 도메인은 해당 용어에 따라 .com 확장자를 포함했습니다.
해당 도메인에서 발견된 패턴에는 앱, 다운로드, 데스크톱, PC 및 윈도우 버전이 포함되었습니다. 각 단어는 도메인에서 단수 또는 복수 형태로 사용되었습니다. 조합론적 분석 결과, 이러한 규칙을 준수하는 고유한 도메인 이름이 560개 있는 것으로 나타났습니다.
잠재적 도메인 중 단 15%만이 발행 시점에 등록된 것으로 나타났습니다. 리디렉션 체인은 IP 주소와 리퍼러 소스를 기반으로 대상을 필터링했습니다.
설정된 범위를 벗어난 피해자에게는 악성 콘텐츠 대신 가짜 웹사이트가 표시되었습니다. 가짜 페이지로의 리디렉션이 성공적으로 이루어지려면 페이스북 리퍼러가 필요했습니다. 이러한 필터링 시스템 덕분에 공격자는 탐지를 피하면서 목표 피해자에게 접근할 수 있었습니다.
Meta의 광고 라이브러리는 EU 내 광고 도달률 추정치를 제공했습니다. 보수적인 계산에 따르면 각 광고는 최소 100명의 사용자에게 도달했습니다. 이 캠페인의 총 도달률은 유럽 연합 내에서 350만 명을 넘어섰습니다.
비EU 국가들을 고려하면 전 세계적으로 1천만 명 이상에게 영향을 미쳤을 가능성이 높습니다. 또한, 해당 캠페인에서는 아시아의 암호화폐 및 금융 기관을 사칭하기도 했습니다.
이 캠페인은 발각을 피하기 위해 정교한 기만 전술을 사용합니다
JSCEAL 캠페인은 특정 회피 방지 기법을 사용하여 탐지율을 극히 낮춥니다. 체크포인트 분석에 따르면 이 멀웨어는 장기간 탐지되지 않았습니다. 이러한 정교한 기술은 공격자가 여러 플랫폼에서 기존 보안 조치를 우회하는 데 도움이 됩니다.
악성 광고를 클릭한 피해자는 합법적으로 보이는 가짜 웹사이트로 연결됩니다. 이러한 가짜 사이트는 실제처럼 보이는 악성 애플리케이션 다운로드를 유도합니다. 공격자들은 실제 암호화폐 플랫폼의 인터페이스를 매우 유사하게 모방한 웹사이트를 제작합니다.
이 악성 소프트웨어는 웹사이트와 설치 소프트웨어가 동시에 작동하는 방식을 사용합니다. 이러한 이중 접근 방식은 보안 연구원들의 분석 및 탐지 작업을 더욱 어렵게 만듭니다. 개별 구성 요소는 따로 검사했을 때는 무해해 보이기 때문에 탐지가 어렵습니다.
이러한 기만적인 수법은 피해자들이 정품 소프트웨어를 설치했다고 믿게 만듭니다. 하지만 그 와중에 악성 소프트웨어는 백그라운드에서 작동하며 사용자가 모르는 사이에 민감한 정보를 수집합니다.
이 공격 캠페인은 플랫폼을 사칭하는 수법을 통해 암호화폐 사용자들을 구체적으로 표적으로 삼습니다. 공격자들은 인기 있는 거래 애플리케이션과 지갑 소프트웨어를 집중적으로 노립니다. 합법적인 암호화폐 도구를 찾는 사용자들이 이 캠페인의 공격에 가장 취약했습니다.
체크포인트 연구원들은 이러한 탐지 회피 기법이 매우 효과적이라고 설명합니다. 기존 보안 소프트웨어는 이러한 방법을 사용하는 위협을dent데 어려움을 겪습니다. 합법적으로 보이는 인터페이스와 숨겨진 악성코드의 조합은 위험한 상황을 초래합니다.
이 악성 소프트웨어의 주된 목적은 감염된 기기에서 민감한 정보를 수집하는 것입니다. 공격자는 이러한 데이터를 이용하여 암호화폐 계정에 접근 하고 디지털 자산을 훔칩니다. 정보 수집은 사용자 상호 작용이나 인지 없이 자동 matic .
JSCEAL은 키보드 입력을 캡처하여 애플리케이션 전반에 걸쳐 비밀번호와 인증 정보를dent합니다. 키로깅 기능은 암호화폐 지갑 비밀번호를 포함하여 사용자가 입력하는 모든 내용을 기록합니다. 또한 잠재적인 계정 탈취를 위해 텔레그램 계정 정보도 노립니다.
또한 공격자들은 피해자가 자주 방문하는 웹사이트와 선호도를 보여주는 브라우저 쿠키를 수집합니다. 브라우저에 저장된 자동 완성 비밀번호도 공격자에게 노출될 수 있습니다.
