За оцінками, 10 мільйонів людей в усьому світі були піддані інтернет -рекламі, яка викликає підроблені додатки для криптовалюти з зловмисним програмним забезпеченням, попереджає контрольну точку фірми з кібербезпеки.
Check Point Research заявив у вівторок, що відстежує кампанію зловмисного програмного забезпечення, яку вона назвала “JSceal”, яка орієнтується на користувачів криптовалют, представляючи загальні програми з торгівлі криптовалютами.
Кампанія активна з принаймні березня 2024 року і “поступово розвивалася з часом”, додала компанія. Він використовує рекламу, щоб обдурити жертв у встановленні підроблених додатків, які “видають себе майже 50 поширених програм для торгівлі криптовалютами”, включаючи Binance, Metamask та Kraken.
Користувачі криптовалют є ключовою ціллю різних шкідливих кампаній, оскільки жертви крадіжок криптовалют мало звертаються до відновлення своїх коштів, а блокчейн анонімізує поганих акторів, що ускладнює розкриття тих, хто стоїть за схемами.
За оцінками, 10 мільйонів орієнтовані на зловмисні оголошення
Check Point заявив, що рекламні інструменти Meta показали, що в першій половині 2025 року 35 000 шкідливих оголошень було просунуто, що призвело до “кількох мільйонів переглядів лише в ЄС”.
Фірма підрахувала, що щонайменше 3,5 мільйона були піддані рекламним кампаніям в межах ЄС, але вони також “видали себе за азіатську криптовалюту та фінансові установи” – регіони з порівняно більшою кількістю користувачів соціальних медіа.
“Глобальний доступ може легко перевищувати 10 мільйонів”, – сказав Check Point.
Фірма зазначила, що зазвичай неможливо визначити повну обсяг зловмисної кампанії та що реклама досягає “не дорівнює кількості жертв”.
Зловмисне програмне забезпечення використовує “унікальні методи антивізії”
Остання ітерація кампанії з зловмисним програмним забезпеченням використовує “унікальні методи протидії”, що призвело до “надзвичайно низьких показників виявлення” і дозволило йому так довго не помітити, сказав Check Point.
Жертви, які натискають на шкідливу рекламу, спрямовані на законний, але фальшивий сайт для завантаження зловмисного програмного забезпечення, а веб-сайт зловмисника та програмне забезпечення для встановлення запускаються одночасно, в яких слід зазначити, що “значно ускладнює зусилля щодо аналізу та виявлення”, оскільки їх важко виявити ізольовано.
Підроблений додаток відкриває програму, яка спрямовує на законний сайт програми, який жертва вважає, що вони завантажили, щоб обдурити їх, але на задньому плані він збирає “конфіденційну інформацію користувачів, насамперед, пов’язану з криптовалютою”.
Пов’язано: Справа загрози, що використовують “витончену схему соціальної інженерії” для орієнтації на користувачів криптовалют – звітують
Зловмисне програмне забезпечення використовує популярну мову програмування JavaScript, яка не потребує вкладу жертви для запуску. Check Point заявив, що “поєднання складеного коду та важкої обмирки” доклала зусиль для аналізу зловмисного програмного забезпечення “складного та трудомісткого”.
Облікові записи та паролі зачерпнули в мережі зловмисного програмного забезпечення
Check Point заявив, що головна мета зловмисного програмного забезпечення – зібрати якомога більше інформації на зараженому пристрої, щоб надіслати його акторові загрози.
Частина інформації про те, що програми збирали, – це введення клавіатури користувача – що може виявити паролі – разом із крадіжкою інформації про обліковий запис Telegram та автозаповнення паролів.
Зловмисне програмне забезпечення також збирає браузерні файли cookie, які можуть показувати, які веб-сайти часто відвідують жертву, і він може маніпулювати криптовалютними розширеннями веб-сайтів, таких як Metamask.
У ньому сказано, що програмне забезпечення проти зловмисного програмного забезпечення, яке виявляє зловмисні страти JavaScript, буде “дуже ефективним” при припиненні нападу на вже інфікований пристрій.
