Вредоносная программа JSCEAL, похищающаяdentданные, могла распространиться среди более чем 10 миллионов пользователей

Согласно исследованию Check Point Research, новая вредоносная программа JSCEAL имитирует 50 популярных криптоплатформ. В рамках этой операции используется вредоносная реклама для распространения поддельных приложений, нацеленных на пользователей.

По оценкам, около 10 миллионов человек по всему миру подверглись атакам. В рамках этой кампании используются скомпилированные файлы JavaScript для эффективной кражи криптовалютных кошельков иdentданных.

Вредоносная рекламная кампания охватила 10 миллионов пользователей

В ходе кампании JSCEAL в первой половине 2025 года было выявлено около 35 000 вредоносных рекламных объявлений. Сами по себе они набрали миллионы просмотров в Европейском Союзе. По данным Check Point Research, эти объявления просмотрели около 10 миллионов человек по всему миру.

Злоумышленники распространяли вредоносный контент через взломанные аккаунты или новые профили. Рекламные посты способствовали распространению фейковых объявлений в социальных сетях. В основном в объявлениях обсуждались криптовалюты, токены и банки.

В ходе кампании использовалось около 50 различных финансовых учреждений с поддельными приложениями. Злоумышленники зарегистрировали доменные имена, используя определенные правила именования для перенаправления. Домены верхнего уровня содержали расширение .com в соответствии с соответствующей терминологией.

В домене встречались следующие шаблоны: app, download, desktop, PC и window. Каждое слово использовалось в доменах как в единственном, так и во множественном числе. Комбинаторика показывает, что существует 560 уникальных доменных имен, соответствующих правилам.

На момент публикации было зарегистрировано лишь 15% потенциальных доменов. Цепочки перенаправлений отфильтровывали целевые объекты на основе IP-адреса и источников переходов.

Жертвы, находящиеся за пределами желаемого диапазона, получали поддельные веб-сайты вместо вредоносного контента. Для успешного перенаправления на поддельные страницы требовались рефереры Facebook. Система фильтрации помогала злоумышленникам избегать обнаружения, достигая целевых жертв.

Библиотека рекламных объявлений Meta предоставила оценки охвата рекламы в пределах ЕС. Консервативные расчеты предполагают, что каждое объявление охватило как минимум 100 пользователей. Общий охват кампании в пределах Европейского союза превысил 3,5 миллиона человек.

Глобальный охват легко мог превысить 10 миллионов человек, если учитывать страны, не входящие в ЕС. В кампаниях также использовались отсылки к азиатским криптовалютным и финансовым институтам.

Предвыборный штаб использует изощренные методы обмана, чтобы избежать обнаружения

В кампании JSCEAL используются определенные методы противодействия обходу защиты, что приводит к крайне низкому уровню обнаружения. Согласно анализу Check Point, вредоносная программа оставалась незамеченной в течение длительного времени. Эти сложные методы помогают злоумышленникам обходить традиционные меры безопасности на различных платформах.

Жертвы, кликающие по вредоносной рекламе, попадают на поддельные веб-сайты, которые выглядят вполне легитимно. Эти поддельные сайты предлагают загрузить вредоносные приложения, которые кажутся подлинными. Злоумышленники создают веб-сайты, максимально точно имитирующие интерфейсы реальных криптовалютных платформ.

Вредоносная программа использует одновременную работу веб-сайта и установочного программного обеспечения. Такой двойной подход усложняет анализ и обнаружение для специалистов по безопасности. Отдельные компоненты кажутся безвредными при рассмотрении по отдельности, что затрудняет обнаружение.

Эта тактика обмана убеждает жертв в том, что они установили подлинное программное обеспечение. Тем временем вредоносная программа работает в фоновом режиме, собирая конфиденциальную информацию без ведома пользователей.

Кампания нацелена на пользователей криптовалют, используя тактику подделки платформ. Злоумышленники сосредотачиваются на популярных торговых приложениях и программном обеспечении для кошельков. Наиболее уязвимыми для кампании оказались пользователи, ищущие легитимные инструменты для работы с криптовалютой.

Исследователи Check Point описывают методы обхода обнаружения как весьма эффективные. Традиционное программное обеспечение безопасности с трудомdentугрозы, используя эти методы. Сочетание интерфейсов, выглядящих вполне легитимно, и скрытого вредоносного ПО создает опасные ситуации.

Вредоносное ПО собирает криптографические данные иdentпользователейmaticспособом

Основная цель вредоносной программы — сбор конфиденциальной информации с зараженных устройств. Злоумышленники собирают данные для доступа к криптовалютным счетам и кражи цифровых активов. Сбор информации происходит автоматическиmaticбез участия или ведома пользователя.

JSCEAL перехватывает ввод с клавиатуры, раскрывая пароли иdentданные для аутентификации в различных приложениях. Функция регистрации нажатий клавиш записывает все, что вводят пользователи, включая пароли от криптовалютных кошельков. Они также нацелены на получение доступа к информации учетных записей Telegram с целью их потенциального взлома.

Они также собирают файлы cookie браузера, содержащие информацию о часто посещаемых жертвами веб-сайтах и ​​их предпочтениях. Пароли, автоматически заполняемые браузерами, также доступны злоумышленникам.