Pratite nas preko RSS-aMalver JSCEAL se širi preko oglasa na Facebooku
Opisi virusa, 31.07.2025, 10:30 AM
Istraživači sajber bezbednosti iz kompanije Check Point upozorili su na sofisticiranu kampanju distribucije lažnih aplikacija za trgovinu kriptovalutama putem Facebook reklama, koja za cilj ima infekciju korisničkih uređaja opasnim malverom pod nazivom JSCEAL.
Ova kampanja koristi hiljade oglasa objavljenih na Facebooku sa kompromitovanih ili novih naloga, sa ciljem da se potencijalne žrtve preusmere na lažne sajtove na kojima im se nudi da instaliraju lažne aplikacije nalik poznatim platformama poput TradingView. Napad je modularan, višeslojan i osmišljen tako da se lako prilagođava - deo funkcionalnosti malvera nalazi se u JavaScript fajlovima unutar kompromitovanih sajtova, dok se ostatak učitava putem instalacionog fajla.
Zlonamerni sajt i instalacioni fajl moraju raditi istovremeno kako bi infekcija uspela, što dodatno otežava otkrivanje i analizu. Da bi se osiguralo da žrtva ne posumnja da se nešto loše dešava, instalater otvara veb prikaz koristeći msedge_proxy.exe kako bi usmerio žrtvu na legitimnu veb stranicu aplikacije.
U pozadini, DLL moduli uspostavljaju HTTP vezu na localhost:30303, sakupljaju informacije o sistemu, prati se instalacija, a sve prikupljene informacije se šalje napadačima u JSON formatu putem PowerShell backdoora.
Ako žrtva bude procenjena kao vredna meta, lanac infekcije prelazi u završnu fazu - pokreće se malver JSCEAL, koji preuzima potpunu kontrolu nad uređajem. Funkcionalnosti ovog malvera uključuju presretanje web saobraćaja žrtve i real-time krađu podataka (posebno kripto i bankarskih naloga), ubrizgavanje malicioznih skripti na sajtove koje korisnik posećuje, prikupljanje kolačića, lozinki za automatsko popunjavanje, podataka o Telegram nalogu, snimaka ekrana i pritisaka na tastere, izvođenje napada tipa „protivnik u sredini“ (adversary-in-the-middle, AitM) i daljinski pristup sistemu.
Ova kampanja, poznata i pod nazivom WEEVILPROXY, aktivna je još od marta 2024. godine, a JSCEAL koristi kompilirane JavaScript fajlove (JSC) kako bi zaobišao tradicionalne alate za zaštitu i onemogućio analizu.
Izdvojeno
Excel prilozi u lažnim mejlovima šire XWorm 7.2
Istraživači iz Fortinet FortiGuard Labs-a upozoravaju na novu kampanju koja koristi lažne poslovne mejlove za širenje XWorm malvera na Windows ra... Dalje
Lažni CAPTCHA navodi korisnike da sami instaliraju malver Amatera Stealer
Istraživači iz kompanije Blackpoint Cyber otkrili su novu kampanju u kojoj napadači koriste lažni CAPTCHA test kako bi naveli korisnike da sami po... Dalje
Povratak malvera GlassWorm: novi talas napada sada cilja Mac računare
Istraživači iz kompanije Koi Security upozorili su na novi talas napada malvera GlassWorm, koji je po prvi put usmeren isključivo na macOS programe... Dalje
Lažni modovi i krekovi kriju Stealka malver koji krade lozinke i kriptovalute
Stručnjaci kompanije Kaspersky otkrili su novi infostealer malver pod nazivom Stealka, koji cilja korisnike Windows sistema. Napadači ga koriste za ... Dalje
MacSync Stealer, prerušen u pouzdanu aplikaciju, krade sve sačuvane lozinke
Godinama su korisnici Mac računara verovali da su bezbedni zahvaljujući Apple-ovom strogom procesu provere aplikacija, koji bi trebalo da garantuje ... Dalje
Pratite nas
Nagrade
Prijatelji
