🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie o projeto e divulgue suas redes! Clique aqui
Os pesquisadores de segurança cibernética estão chamando a atenção para uma campanha em andamento que distribui aplicativos de negociação de criptomoedas falsas para implantar um malware JavaScript V8 compilado (JSC) chamado JSCEAL que pode capturar dados de credenciais e carteiras.
A atividade aproveita milhares de anúncios maliciosos publicados no Facebook, na tentativa de redirecionar vítimas inocentes para falsificar sites que os instruem a instalar os aplicativos falsos, de acordo com o Check Point. Esses anúncios são compartilhados por meio de contas roubadas ou recém -criadas.
"Os atores separam a funcionalidade do instalador em diferentes componentes e, principalmente, movem alguma funcionalidade para os arquivos JavaScript dentro dos sites infectados", disse a empresa em uma análise. "Um fluxo modular de infecção de várias camadas permite que os atacantes adaptem novas táticas e cargas úteis em todas as etapas da operação".
Vale a pena notar que alguns aspectos da atividade foram documentados anteriormente pela Microsoft em abril de 2025 e com seguros tão recentemente quanto este mês, com o último rastreando -o como gorgulho. De acordo com o fornecedor de segurança finlandês, a campanha está ativa desde março de 2024.
Verificou-se que as cadeias de ataque adotam novos mecanismos de anti-análise que dependem de impressão digital baseadas em scripts, antes de fornecer a carga útil final do JSC.
"Os atores de ameaças implementaram um mecanismo único que exige que o site malicioso e o instalador sejam executados em paralelo para a execução bem -sucedida, o que complica significativamente os esforços de análise e detecção", observou a empresa de segurança cibernética israelense.
Clicar no link nos anúncios do Facebook desencadeia uma cadeia de redirecionamento, levando a vítima a uma página de destino falsa imitando um serviço legítimo como TradingView ou um site de engodo, se o endereço IP do alvo não estiver dentro de um intervalo desejado ou o referenciador não for o Facebook.
O site também inclui um arquivo JavaScript que tenta se comunicar com um servidor localhost na porta 30303, além de hospedar outros dois scripts JavaScript responsáveis pelo rastreamento do processo de instalação e iniciando solicitações de postagens que são tratadas pelos componentes do instalador do MSI.
Por sua parte, o arquivo do instalador baixado do site descompacta várias bibliotecas de DLL, ao mesmo tempo em que inicia os ouvintes HTTP no host localhost: 30303 para processar solicitações de postagem recebidas no site falso. Essa interdependência também significa que a cadeia de infecção não prossegue mais se algum desses componentes não funcionar.
"Para garantir que a vítima não suspeite de atividades anormais, o instalador abre uma visão da web usando msedge_proxy.exe para direcionar a vítima para o site legítimo do aplicativo", disse o Check Point.
Os módulos DLL são projetados para analisar as solicitações de postagem do site e coletar informações do sistema e iniciar o processo de impressão digital, após o que as informações capturadas são exfiltradas ao atacante na forma de um arquivo JSON por meio de um backdoor do PowerShell.
Se o anfitrião da vítima for considerado valioso, a cadeia de infecções se moverá para o estágio final, levando à execução do malware JSCEAL, alavancando o Node.JS.
O malware, além de estabelecer conexões com um servidor remoto para receber mais instruções, configura um proxy local com o objetivo de interceptar o tráfego da Web da vítima e injetar scripts maliciosos em bancos, criptomoedas e outros sites sensíveis para roubar suas credenciais em tempo real.
Outras funções do JSCEAL incluem a coleta de informações do sistema, cookies do navegador, senhas de preenchimento automático, dados da conta do Telegram, capturas de tela, pressionamentos de teclas, além de realizar ataques de adversários no meio (AITM) e manipular carteiras de criptomoedas. Também pode atuar como um Trojan de acesso remoto.
"Esta peça sofisticada de malware foi projetada para obter controle absoluto da máquina de vítimas, sendo resiliente contra ferramentas de segurança convencionais", disse Check Point. "A combinação de código compilado e ofuscação pesada, ao mesmo tempo em que exibia uma ampla variedade de funcionalidades, tornou os esforços de análise desafiadores e demorados".
"O uso de arquivos JSC permite que os invasores ocultem de maneira simples e eficaz seu código, ajudando -o a evitar mecanismos de segurança e dificultando a análise".
A atividade aproveita milhares de anúncios maliciosos publicados no Facebook, na tentativa de redirecionar vítimas inocentes para falsificar sites que os instruem a instalar os aplicativos falsos, de acordo com o Check Point. Esses anúncios são compartilhados por meio de contas roubadas ou recém -criadas.
"Os atores separam a funcionalidade do instalador em diferentes componentes e, principalmente, movem alguma funcionalidade para os arquivos JavaScript dentro dos sites infectados", disse a empresa em uma análise. "Um fluxo modular de infecção de várias camadas permite que os atacantes adaptem novas táticas e cargas úteis em todas as etapas da operação".
Vale a pena notar que alguns aspectos da atividade foram documentados anteriormente pela Microsoft em abril de 2025 e com seguros tão recentemente quanto este mês, com o último rastreando -o como gorgulho. De acordo com o fornecedor de segurança finlandês, a campanha está ativa desde março de 2024.
Verificou-se que as cadeias de ataque adotam novos mecanismos de anti-análise que dependem de impressão digital baseadas em scripts, antes de fornecer a carga útil final do JSC.
"Os atores de ameaças implementaram um mecanismo único que exige que o site malicioso e o instalador sejam executados em paralelo para a execução bem -sucedida, o que complica significativamente os esforços de análise e detecção", observou a empresa de segurança cibernética israelense.
Clicar no link nos anúncios do Facebook desencadeia uma cadeia de redirecionamento, levando a vítima a uma página de destino falsa imitando um serviço legítimo como TradingView ou um site de engodo, se o endereço IP do alvo não estiver dentro de um intervalo desejado ou o referenciador não for o Facebook.
O site também inclui um arquivo JavaScript que tenta se comunicar com um servidor localhost na porta 30303, além de hospedar outros dois scripts JavaScript responsáveis pelo rastreamento do processo de instalação e iniciando solicitações de postagens que são tratadas pelos componentes do instalador do MSI.
Por sua parte, o arquivo do instalador baixado do site descompacta várias bibliotecas de DLL, ao mesmo tempo em que inicia os ouvintes HTTP no host localhost: 30303 para processar solicitações de postagem recebidas no site falso. Essa interdependência também significa que a cadeia de infecção não prossegue mais se algum desses componentes não funcionar.
"Para garantir que a vítima não suspeite de atividades anormais, o instalador abre uma visão da web usando msedge_proxy.exe para direcionar a vítima para o site legítimo do aplicativo", disse o Check Point.
Os módulos DLL são projetados para analisar as solicitações de postagem do site e coletar informações do sistema e iniciar o processo de impressão digital, após o que as informações capturadas são exfiltradas ao atacante na forma de um arquivo JSON por meio de um backdoor do PowerShell.
Se o anfitrião da vítima for considerado valioso, a cadeia de infecções se moverá para o estágio final, levando à execução do malware JSCEAL, alavancando o Node.JS.
O malware, além de estabelecer conexões com um servidor remoto para receber mais instruções, configura um proxy local com o objetivo de interceptar o tráfego da Web da vítima e injetar scripts maliciosos em bancos, criptomoedas e outros sites sensíveis para roubar suas credenciais em tempo real.
Outras funções do JSCEAL incluem a coleta de informações do sistema, cookies do navegador, senhas de preenchimento automático, dados da conta do Telegram, capturas de tela, pressionamentos de teclas, além de realizar ataques de adversários no meio (AITM) e manipular carteiras de criptomoedas. Também pode atuar como um Trojan de acesso remoto.
"Esta peça sofisticada de malware foi projetada para obter controle absoluto da máquina de vítimas, sendo resiliente contra ferramentas de segurança convencionais", disse Check Point. "A combinação de código compilado e ofuscação pesada, ao mesmo tempo em que exibia uma ampla variedade de funcionalidades, tornou os esforços de análise desafiadores e demorados".
"O uso de arquivos JSC permite que os invasores ocultem de maneira simples e eficaz seu código, ajudando -o a evitar mecanismos de segurança e dificultando a análise".
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #os #hackers #usam #anúncios #do #facebook #para #espalhar #malware #jsceal #por #meio #de #aplicativos #de #negociação #de #criptomoedas #falsas
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário