بدافزاری که به عنوان شرکتهای بزرگ ارز دیجیتال خود را معرفی میکند، بیش از 10 میلیون نفر در سراسر جهان را هدف قرار داده است.
شرکت امنیتی Check Point درباره بدافزاری به نام JSCEAL هشدار داده است که به تقلید از پلتفرمهای کریپتو پرداخته و میلیونها قربانی را به منظور سرقت دادههای مرتبط با کریپتو فریب میدهد، این بدافزار چگونه کار میکند؟
- بدافزاری به نام JSCEAL میتواند با تقلید از پلتفرمهای بزرگ کریپتو به دستگاههای کاربران نفوذ کند.
- JSCEAL به دلیل «روشهای منحصر به فرد ضد دور زدن» تشخیص آن دشوار است.
در یک پست وبلاگی اخیر، بررسیهای Check Point به معاملهگران کریپتو درباره یک تهدید نسبتاً جدید آنلاین که بهطور خاص دادههای مرتبط با کریپتو را هدف قرار میدهد و به تقلید از تقریباً ۵۰ پلتفرم کریپتو، از جمله Binance، MetaMask، eToro، DEX Screener، Monero، Kraken و بسیاری دیگر پرداخته است، اطلاعرسانی کرد.
این بدافزار به نام JSCEAL از مارس ۲۰۲۴ فعال بوده است، با فعالیت محدود اما به یک عملیات پیچیدهتر تبدیل شده است.
«در آخرین مرحله کمپین، بازیگران تهدید تعداد زیادی دامنه کسب کرده و تکنیکهای خاصی را برای گریز از شناسایی به کار گرفتند، از جمله گاهی اوقات از استقرار بار نهایی خودداری کردند»، این را شرکت امنیتی نوشت.
این کمپین نرمافزار مخرب، تبلیغات شرکتهای کریپتو را برای فریب قربانیان تولید میکند. هنگامی که آنها بر روی تبلیغات کلیک میکنند، به «وبسایتهای طعمه» هدایت میشوند که آنها را به نصب برنامههای جعلی هدایت میکند و آنها را به عنوان پلتفرمهای واقعی کریپتو برای تجارت تصور میکنند.
در این میان، بازیگران مخرب به سیستم قربانی نفوذ کرده و دادههای مرتبط با کریپتو آنها را میدزدند.
«در نیمه اول سال ۲۰۲۵، بازیگران تهدید حدود ۳۵,۰۰۰ تبلیغات مخرب را ترویج کردند که منجر به چند میلیون بازدید تنها در اتحادیه اروپا شد»، Check Point در پست وبلاگی خود نوشت.
به گفته برآوردهای این شرکت امنیتی، هر تبلیغ توانسته است حداقل ۱۰۰ کاربر را در اتحادیه اروپا ببیند. این به این معنی است که با ۳۵,۰۰۰ تبلیغ، هکرها توانستهاند ۳.۵ میلیون کاربر را تنها در اتحادیه اروپا به خود جلب کنند.
در عین حال، این شرکت برای کاربران خارج از اتحادیه اروپا حساب نکرده است. با توجه به اینکه تعداد کاربران شبکههای اجتماعی در سطح جهانی بسیار بیشتر از اتحادیه اروپا است، شرکت امنیتی نتیجهگیری میکند که «دستیابی جهانی میتواند به راحتی بیش از ۱۰ میلیون [نفر] باشد.»
چگونه بدافزار JSCEAL به دستگاههای کاربران نفوذ میکند
بر اساس پست وبلاگی، آخرین نسخه کمپین بدافزار از آنچه که به عنوان «روشهای منحصر به فرد ضد دور زدن» نامیده میشود استفاده میکند که تشخیص آن را دشوار میسازد. این شرکت امنیتی از یک وبسایت جعلی استفاده میکند که آنها را به نصب بدافزار را مستقیماً در دستگاههای خود هدایت میکند، و میگوید که این روش دو لایه «تحلیل و تلاشهای شناسایی را به شدت پیچیده میکند.»
JSCEAL از زبان برنامهنویسی JavaScript استفاده میکند، و همچنین آنچه که این شرکت امنیتی به عنوان «ترکیبی از کد کامپایل شده و ابهامسازی سنگین» میداند. به این ترتیب، قربانی نیازی به فعالسازی کد برای اجرای آن ندارد.
علاوه بر این، هدف اصلی کمپین سرقت اطلاعات از دستگاههای آلوده و ارسال آن به سرور اصلی هکرها است. بر اساس تحلیل این شرکت، مهاجمان «اطلاعات گستردهای از دستگاه» جمعآوری میکنند که شامل مکان، کلمات عبور تکمیل خودکار، جزئیات شبکه، اطلاعات ایمیل و پیکربندی پروکسی میشود.
علاوه بر این، اگر مهاجمان قربانی را ارزشمند بدانند، کد اضافی را اضافه میکنند که میتواند «بار نهایی» را برای سرقت دادههای بیشتر دانلود و اجرا کند و ممکن است هر گونه و همه ردپاهای بدافزار را از سیستم قربانی حذف کند.
با این حال، کاربران میتوانند از نرمافزار ضد بدافزار برای شناسایی اجراهای مخرب و متوقف کردن حملات در حال انجام بر روی دستگاههای آلوده استفاده کنند.
