Uma nova campanha de malware da JSCEAL imita 50 plataformas de criptomoedas populares, segundo a Check Point Research. A operação utiliza anúncios maliciosos para distribuir aplicativos falsos direcionados aos usuários.
Estima-se que 10 milhões de pessoas em todo o mundo tenham sido expostas a ataques. A campanha utiliza arquivos JavaScript compilados para roubar carteiras de criptomoedas edentcom eficácia.
Campanha publicitária maliciosa atinge 10 milhões de usuários
A campanha JSCEAL expôs cerca de 35.000 anúncios maliciosos no primeiro semestre de 2025. Esses anúncios, por sua vez, alcançaram milhões de visualizações na União Europeia. A Check Point Research estima que cerca de 10 milhões de pessoas visualizaram esses anúncios em todo o mundo.
Conteúdo malicioso foi compartilhado por pessoas mal-intencionadas em contas invadidas ou perfis novos. Publicações patrocinadas auxiliaram na distribuição de anúncios falsos nas redes sociais. Os anúncios, em sua maioria, abordavam criptomoedas, tokens e bancos.
A campanha foi realizada utilizando quase 50 instituições financeiras diferentes com aplicativos falsificados. Os criminosos registraram nomes de domínio seguindo algumas convenções de nomenclatura para redirecionamento. Os domínios de nível superior continham a extensão .com, em conformidade com a terminologia correspondente.
Os padrões no domínio incluíam versões para aplicativo, download, desktop, PC e Windows. Cada palavra foi usada individualmente ou no plural nos domínios. A análise combinatória mostra que existem 560 nomes de domínio únicos que estão em conformidade com as regras.
Apenas 15% dos domínios potenciais estavam registrados no momento da publicação. As cadeias de redirecionamento filtraram os destinos com base no endereço IP e nas fontes de referência.
As vítimas fora dos intervalos desejados receberam sites de isca em vez de conteúdo malicioso. Os referenciadores do Facebook eram necessários para o redirecionamento bem-sucedido para as páginas falsas. O sistema de filtragem ajudou os atacantes a evitar a detecção enquanto alcançavam suas vítimas-alvo.
A Biblioteca de Anúncios da Meta forneceu estimativas do alcance dos anúncios na UE. Cálculos conservadores assumem que cada anúncio atingiu no mínimo 100 usuários. O alcance total da campanha ultrapassou 3,5 milhões dentro das fronteiras da União Europeia.
O alcance global poderia facilmente ultrapassar 10 milhões, considerando os países fora da UE. Criptomoedas e instituições financeiras asiáticas também foram imitadas nas campanhas.
A campanha utiliza táticas sofisticadas de engano para evitar a detecção
A campanha JSCEAL utiliza certos métodos anti-evasão, resultando em taxas de detecção extremamente baixas. O malware permaneceu indetectado por longos períodos, de acordo com a análise da Check Point. Essas técnicas sofisticadas ajudam os atacantes a contornar as medidas de segurança tradicionais em diversas plataformas.
As vítimas que clicam em anúncios maliciosos são direcionadas para sites falsos com aparência legítima. Esses sites falsos incentivam o download de aplicativos maliciosos que parecem autênticos. Os atacantes criam sites que imitam de perto as interfaces de plataformas de criptomoedas reais.
O malware utiliza a operação simultânea do site e do software de instalação. Essa abordagem dupla complica os esforços de análise e detecção para pesquisadores de segurança. Os componentes individuais parecem inofensivos quando examinados separadamente, o que torna a detecção um desafio.
Essa tática de engano convence as vítimas de que instalaram um software autêntico. Enquanto isso, o malware opera em segundo plano, coletando informações confidenciais sem o conhecimento dos usuários.
A campanha tem como alvo específico usuários de criptomoedas, utilizando táticas de falsificação de identidade em plataformas. Os atacantes se concentram em aplicativos de negociação populares e softwares de carteira digital. Usuários que buscam ferramentas legítimas para criptomoedas foram os mais suscetíveis à campanha.
Pesquisadores da Check Point descrevem a evasão de detecção como altamente eficaz. Softwares de segurança tradicionais têm dificuldade emdentameaças que utilizam esses métodos. A combinação de interfaces com aparência legítima e malware oculto cria cenários perigosos.
O principal objetivo do malware é coletar informações confidenciais de dispositivos infectados. Os atacantes coletam dados para acessar contas de criptomoedas e roubar ativos digitais. A coleta de informações ocorre automaticamente, matic necessidade de interação ou conhecimento do usuário.
O JSCEAL captura as entradas do teclado, revelando senhas edentde autenticação em diversos aplicativos. A funcionalidade de registro de teclas grava tudo o que os usuários digitam, incluindo senhas de carteiras de criptomoedas. Eles também visam informações de contas do Telegram para uma possível invasão de conta.
Eles também coletam cookies do navegador, mostrando os sites visitados com frequência e as preferências das vítimas. Senhas de preenchimento automático armazenadas nos navegadores também são acessíveis aos agentes maliciosos.
