Cybersecurity -onderzoekers vestigen de aandacht op een voortdurende campagne die nep -cryptocurrency -handelsapps distribueert om een gecompileerde V8 JavaScript (JSC) -malware te implementeren die wordt genoemd JSCEAL Dat kan gegevens vastleggen van referenties en portefeuilles.
De activiteit maakt gebruik van duizenden kwaadaardige advertenties die op Facebook zijn geplaatst in een poging om nietsvermoedende slachtoffers om te leiden naar vervalste sites die hen instrueren om de nep -apps te installeren, volgens Check Point. Deze advertenties worden gedeeld via gestolen accounts of nieuw gemaakte.
“De acteurs scheiden de functionaliteit van het installatieprogramma in verschillende componenten en verplaatsen met name sommige functionaliteit naar de JavaScript -bestanden in de geïnfecteerde websites,” zei het bedrijf in een analyse. “Een modulaire, meerlagige infectiestroom stelt de aanvallers in staat om nieuwe tactieken en payloads aan te passen in elke fase van de operatie.”
Het is vermeldenswaard dat sommige aspecten van de activiteit eerder zijn gedocumenteerd door Microsoft in april 2025 en met Secure zo recent als deze maand, waarbij de laatste het als weevilproxy volgt. Volgens de Finse beveiligingsverkoper is de campagne sinds maart 2024 actief.
De aanvalsketens zijn gevonden om nieuwe anti-analysemechanismen aan te nemen die afhankelijk zijn van op script gebaseerde vingerafdrukken, voordat ze de laatste JSC-payload afleveren.
“De dreigingsactoren hebben een uniek mechanisme geïmplementeerd dat zowel de kwaadwillende site als het installatieprogramma vereist om parallel te lopen voor succesvolle uitvoering, wat de analyse- en detectie -inspanningen aanzienlijk compliceert,” merkte het Israëlische cybersecuritybedrijf op.
Als u op de link in de Facebook -advertenties klikt, wordt een omleidingsketen geactiveerd en uiteindelijk het slachtoffer naar een nep -bestemmingspagina gebracht die een legitieme service nabootst, zoals TradingView of een Decoy -website, als het IP -adres van het doelwit niet binnen een gewenste bereik ligt of de verwijzer niet Facebook is.
De website bevat ook een JavaScript -bestand dat probeert te communiceren met een LocalHost -server op poort 30303, naast het hosten van twee andere JavaScript -scripts die verantwoordelijk zijn voor het bijhouden van het installatieproces en het initiëren van postverzoeken die worden behandeld door de componenten binnen het MSI -installateur.
Van zijn kant pakt het installatiebestand van de site een aantal DLL -bibliotheken uit, terwijl het tegelijkertijd HTTP -luisteraars op localhost: 30303 initiëren om inkomende postverzoeken van de nepsite te verwerken. Deze onderlinge afhankelijkheid betekent ook dat de infectieketen niet verder gaat als een van deze componenten niet werkt.
“Om ervoor te zorgen dat het slachtoffer geen abnormale activiteit vermoedt, opent het installatieprogramma een WebView met msedge_proxy.exe om het slachtoffer te leiden naar de legitieme website van de applicatie,” zei Check Point.
De DLL -modules zijn ontworpen om de postverzoeken van de website te ontleden en systeeminformatie te verzamelen en het vingerafdrukproces te starten, waarna de vastgelegde informatie wordt geëxfiltreerd aan de aanvaller in de vorm van een JSON -dossier door middel van een PowerShell -achterdeur.
Als de slachtofferhost waardevol wordt geacht, gaat de infectieketen naar de laatste fase, wat leidt tot de uitvoering van de JSCEAL -malware door gebruik te maken van node.js.
De malware, naast het tot stand brengen van verbindingen met een externe server om verdere instructies te ontvangen, stelt een lokale proxy op met als doel het webverkeer van het slachtoffer te onderscheppen en kwaadaardige scripts te injecteren in bankieren, cryptocurrency en andere gevoelige websites om hun geloofsbrieven in realtime te stelen.
Andere functies van JSCEAL zijn onder meer het verzamelen van systeeminformatie, browsercookies, automatische wachtwoorden, telegram-accountgegevens, screenshots, toetsaanslagen, en het uitvoeren van tegenstander-in-the-middle (AITM) -aanvallen en het manipuleren van cryptocurrency-portefeuilles. Het kan ook fungeren als een externe toegang Trojan.
“Dit geavanceerde stuk malware is ontworpen om absolute controle over de slachtoffermachine te krijgen, terwijl het veerkrachtig is tegen conventionele beveiligingstools,” zei Check Point. “De combinatie van gecompileerde code en zware obfuscatie, terwijl een breed scala aan functionaliteit wordt vertoond, analyse-inspanningen uitdagend en tijdrovend vertonen.”
“Met behulp van JSC -bestanden kunnen aanvallers eenvoudig en effectief hun code verbergen, het helpen beveiligingsmechanismen te ontwijken en het moeilijk te maken om te analyseren.”
