Malver JSCEAL se širi preko oglasa na Facebooku

Opisi virusa, 31.07.2025, 10:30 AM

Malver JSCEAL se širi preko oglasa na Facebooku

Istraživači sajber bezbednosti iz kompanije Check Point upozorili su na sofisticiranu kampanju distribucije lažnih aplikacija za trgovinu kriptovalutama putem Facebook reklama, koja za cilj ima infekciju korisničkih uređaja opasnim malverom pod nazivom JSCEAL.

Ova kampanja koristi hiljade oglasa objavljenih na Facebooku sa kompromitovanih ili novih naloga, sa ciljem da se potencijalne žrtve preusmere na lažne sajtove na kojima im se nudi da instaliraju lažne aplikacije nalik poznatim platformama poput TradingView. Napad je modularan, višeslojan i osmišljen tako da se lako prilagođava - deo funkcionalnosti malvera nalazi se u JavaScript fajlovima unutar kompromitovanih sajtova, dok se ostatak učitava putem instalacionog fajla.

Zlonamerni sajt i instalacioni fajl moraju raditi istovremeno kako bi infekcija uspela, što dodatno otežava otkrivanje i analizu. Da bi se osiguralo da žrtva ne posumnja da se nešto loše dešava, instalater otvara veb prikaz koristeći msedge_proxy.exe kako bi usmerio žrtvu na legitimnu veb stranicu aplikacije.

U pozadini, DLL moduli uspostavljaju HTTP vezu na localhost:30303, sakupljaju informacije o sistemu, prati se instalacija, a sve prikupljene informacije se šalje napadačima u JSON formatu putem PowerShell backdoora.

Ako žrtva bude procenjena kao vredna meta, lanac infekcije prelazi u završnu fazu - pokreće se malver JSCEAL, koji preuzima potpunu kontrolu nad uređajem. Funkcionalnosti ovog malvera uključuju presretanje web saobraćaja žrtve i real-time krađu podataka (posebno kripto i bankarskih naloga), ubrizgavanje malicioznih skripti na sajtove koje korisnik posećuje, prikupljanje kolačića, lozinki za automatsko popunjavanje, podataka o Telegram nalogu, snimaka ekrana i pritisaka na tastere, izvođenje napada tipa „protivnik u sredini“ (adversary-in-the-middle, AitM) i daljinski pristup sistemu.

Ova kampanja, poznata i pod nazivom WEEVILPROXY, aktivna je još od marta 2024. godine, a JSCEAL koristi kompilirane JavaScript fajlove (JSC) kako bi zaobišao tradicionalne alate za zaštitu i onemogućio analizu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver JSCEAL se širi preko oglasa na Facebooku

Malver JSCEAL se širi preko oglasa na Facebooku

Istraživači sajber bezbednosti iz kompanije Check Point upozorili su na sofisticiranu kampanju distribucije lažnih aplikacija za trgovinu kriptoval... Dalje

Matanbuchus 3.0: Povratak opasnog malvera

Matanbuchus 3.0: Povratak opasnog malvera

Istraživači sajber bezbednosti iz Morphisec-a upozorili su na novu verziju poznatog malvera Matanbuchus. U pitanju je sofisticirani “loader&rd... Dalje

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje

Novi opasni ransomware briše sadržaj fajlova na uređajima

Novi opasni ransomware briše sadržaj fajlova na uređajima

Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje