Istraživači sajber sigurnosti skreću pažnju na tekuću kampanju koja distribuira lažne aplikacije za trgovanje kriptovalutama kako bi implementirala kompilirani V8 JavaScript (JSC) maliciozni softver pod nazivom JSCEAL koji može prikupljati podatke poput kredencijala i novčanika.
Aktivnost koristi hiljade malicioznih oglasa objavljenih na Facebooku u pokušaju da preusmjeri nesuđene žrtve na krivotvorene stranice koje ih upućuju da instaliraju lažne aplikacije, prema Check Pointu. Ovi oglasi se dijele ili putem ukradenih računa ili novokreiranih.
„Hakeri odvajaju funkcionalnost instalatora na različite komponente i, što je najvažnije, premještaju neke funkcionalnosti u JavaScript datoteke unutar zaraženih web stranica“, navodi kompanija u analizi. „Modularni, višeslojni tok infekcije omogućava napadačima da prilagode nove taktike i korisne sadržaje u svakoj fazi operacije.“
Vrijedi napomenuti da su neki aspekti ove aktivnosti prethodno dokumentovani od strane Microsofta u aprilu 2025. godine , a WithSecure tek ovog mjeseca, pri čemu je potonji to pratio kao WEEVILPROXY . Prema finskom dobavljaču sigurnosnih rješenja, kampanja je aktivna od marta 2024. godine.
Utvrđeno je da lanci napada usvajaju nove mehanizme protiv analize koji se oslanjaju na otiske prstiju zasnovane na skriptama, prije isporuke konačnog JSC sadržaja.
„Prijetnje su implementirale jedinstveni mehanizam koji zahtijeva da i maliciozne stranica i instalacijski program rade paralelno za uspješno izvršenje, što značajno komplikuje analizu i detekciju“, napomenula je izraelska kompanija za sajber sigurnost.
Klikom na link u Facebook oglasima pokreće se lanac preusmjeravanja, koji na kraju vodi žrtvu do lažne odredišne stranice koja oponaša legitimnu uslugu poput TradingView-a ili lažne web stranice, ako IP adresa mete nije unutar željenog raspona ili ako referentna stranica nije Facebook.
Web stranica takođe uključuje JavaScript datoteku koja pokušava komunicirati s lokalnim serverom na portu 30303, pored toga što hostira još dvije JavaScript skripte koje su odgovorne za praćenje procesa instalacije i pokretanje POST zahtjeva koje obrađuju komponente unutar MSI instalatora.
Sa svoje strane, instalacijska datoteka preuzeta sa stranice raspakirava nekoliko DLL biblioteka, istovremeno pokrećući HTTP listenere na localhost:30303 za obradu dolaznih POST zahtjeva sa lažne stranice. Ova međuzavisnost također znači da lanac infekcije ne nastavlja dalje ako bilo koja od ovih komponenti ne radi.
„Kako bi se osiguralo da žrtva ne posumnja na abnormalnu aktivnost, instalacijski program otvara web prikaz koristeći msedge_proxy.exe kako bi usmjerio žrtvu na legitimnu web stranicu aplikacije“, rekli su iz Check Pointa.
DLL moduli su dizajnirani za parsiranje POST zahtjeva sa web stranice, prikupljanje sistemskih informacija i pokretanje procesa otiska prsta, nakon čega se snimljene informacije šalju napadaču u obliku JSON datoteke putem PowerShell backdoor-a.
Ako se zaraženi host smatra vrijednim, lanac infekcije prelazi u završnu fazu, što dovodi do izvršavanja JSCEAL malicioznog softvera korištenjem Node.js-a.
Maliciozni softver, osim uspostavljanja veze s udaljenim serverom radi primanja daljnjih uputa, postavlja lokalni proxy s ciljem presretanja web prometa žrtve i ubrizgavanja malicioznih skripti u bankarske, kriptovalutne i druge osjetljive web stranice kako bi ukrao njihove kredencijale u stvarnom vremenu.
Druge funkcije JSCEAL-a uključuju prikupljanje sistemskih informacija, kolačića preglednika, automatskog popunjavanja lozinki, podataka Telegram računa, snimaka ekrana, pritisaka tipki, kao i provođenje napada tipa “protivnik u sredini” (AitM) i manipulisanje kriptovalutnim novčanicima. Takođe može djelovati kao trojanac za udaljeni pristup.
„Ovaj sofisticirani maliciozni softver dizajniran je da stekne apsolutnu kontrolu nad zaraženim računarom, a istovremeno bude otporan na konvencionalne sigurnosne alate“, rekao je Check Point. „Kombinacija kompajliranog koda i teške obfuskacije, uz prikazivanje širokog spektra funkcionalnosti, učinila je analitičke napore izazovnim i dugotrajnim.“
“Korištenje JSC datoteka omogućava napadačima da jednostavno i efikasno sakriju svoj kod, pomažući mu da izbjegne sigurnosne mehanizme i otežavajući njegovu analizu.”
Izvor:The Hacker News
