Check Point odhalil tisíce reklám propagujúcich falošné kryptografické aplikácie. Aplikácie obsahujú infostealer malvér zameraný na používateľov. Infostealer dokáže obísť väčšinu antivírusových ochrán.
Používatelia kryptomien sú cieľom vysoko sofistikovanej a rozsiahlej kyberzločineckej kampane s cieľom nasadiť malvér schopný získať informácie o burzách a peňaženkách, v podstate okrádajúci ľudí o ich tokeny, varovali odborníci z Check Pointu.
Táto kampaň, prezývaná výskumníkmi JSCEAL, je aktívna zrejme od marca 2024 a je jedinečná vďaka použitiu kompilovaných JavaScriptových súborov (JSC), čo umožňuje malvéru zostať skrytým pred väčšinou tradičných antivírusových riešení.
Zločinci vytvorili falošné aplikácie pre kryptomenové burzy a peňaženky, ktoré obsahujú infostealer. Vytvorili tiež webové stránky na hosťovanie týchto aplikácií a podarilo sa im zakúpiť tisíce reklám na internete na propagáciu podvodu. Check Point uvádza, že len v Európskej únii (EÚ) bolo medzi januárom a júnom 2025 zobrazených 35 000 škodlivých reklám.
JSCEAL malvér
„Použitie knižnice reklám Facebooku nám umožnilo odhadnúť dosah kampane, pričom veľmi konzervatívnym prístupom môžeme odhadnúť celkový dosah malvertisingovej kampane na 3,5 milióna používateľov len v rámci EÚ a pravdepodobne nad 10 miliónov používateľov na celom svete,“ vysvetlili výskumníci.
Ľudia, ktorí sa stanú obeťou podvodu, si stiahnu MSI inštalátor, ktorý spustí „sekvenciu profilovacích skriptov“, ktoré zhromažďujú kritické informácie o systéme. Tieto skripty tiež používajú príkazy PowerShell na zhromažďovanie a exfiltráciu údajov, ako prípravu na nasadenie finálnej užitočnej záťaže.
Touto finálnou užitočnou záťažou je JSCEAL malvér, ktorý kradne údaje súvisiace s kryptomenami, ako sú poverenia a súkromné kľúče. Užitočná záťaž sa vykonáva prostredníctvom Node.js.
Čo robí tento malvér obzvlášť nebezpečným, je použitie kompilovaných JavaScriptových súborov.
„Kampaň JSCEAL používa kompilované V8 JavaScript (JSC) súbory, menej známu funkciu enginu V8 od spoločnosti Google, ktorá umožňuje obfusc pre kód a vyhýbanie sa statickej analýze,“ dodali výskumníci. „Táto inovatívna technika umožňuje útočníkom obísť detekčné systémy, čo mimoriadne sťažuje detekciu škodlivého kódu až do jeho spustenia. JSCEAL je pozoruhodný svojou rozsiahlosťou, technickou zložitosťou a perzistenciou, pričom sa od svojho objavu výrazne vyvinul.“
Ešte aj dnes zostáva mnoho verzií malvéru neodhalených bežnými bezpečnostnými nástrojmi.
Ktokoľvek, kto má obavy, že jeho údaje môžu byť ohrozené, by sa mal uistiť, že jeho antivírusová ochrana je aktuálna a pre tých, ktorí preferujú používanie technológie Apple, je tu najlepší antivírusový softvér pre Mac.
