يستخدم المتسللين إعلانات Facebook لنشر البرامج الضارة JSCEAL عبر تطبيقات تداول العملة المشفرة المزيفة
يدعو باحثو الأمن السيبراني الانتباه إلى حملة مستمرة توزع تطبيقات تداول العملة المشفرة المزيفة لنشر برامج V8 JavaScript (JSC) التي تم تجميعها JSCEAL يمكن أن تلتقط البيانات من بيانات الاعتماد والمحافظ.
يستفيد النشاط من الآلاف من الإعلانات الخبيثة المنشورة على Facebook في محاولة لإعادة توجيه الضحايا المطمئنين إلى المواقع المزيفة التي توجههم إلى تثبيت تطبيقات الزائفة ، وفقًا لـ Check Point. تتم مشاركة هذه الإعلانات إما عن طريق الحسابات المسروقة أو الحسابات التي تم إنشاؤها حديثًا.
“الفاعلون يفصلون وظائف المثبت إلى مكونات مختلفة وأبرزها نقل بعض الوظائف إلى ملفات JavaScript داخل مواقع الويب المصابة” ، الشركة قال في تحليل. “يتيح تدفق العدوى المعياري متعدد الطبقات للمهاجمين تكييف التكتيكات الجديدة والحمولة في كل مرحلة من مراحل العملية.”
تجدر الإشارة إلى أن بعض جوانب النشاط قد تم توثيقها من قبل Microsoft في أبريل 2025 ، وامتذاب في الآونة الأخيرة في هذا الشهر ، مع تعقبه الأخير على أنه Wevilproxy. وفقًا للبائع الأمني الفنلندي ، كانت الحملة نشطة منذ مارس 2024.
تم العثور على سلاسل الهجوم لتبني آليات جديدة لمكافحة التحليل تعتمد على بصمات الأصابع المستندة إلى النصوص ، قبل تقديم حمولة JSC النهائية.
وأشارت شركة الأمن السيبراني الإسرائيلي إلى أن “الجهات الفاعلة في التهديد نفذت آلية فريدة تتطلب كل من الموقع الضار والمثبت أن يعملوا بالتوازي للتنفيذ الناجح ، مما يعقد بشكل كبير جهود التحليل والاكتشاف”.
يؤدي النقر على الرابط في إعلانات Facebook إلى تشغيل سلسلة إعادة توجيه ، مما يؤدي في النهاية إلى قيادة الضحية إلى صفحة مقصودة مزيفة تحاكي خدمة شرعية مثل TradingView أو موقع الويب الشرك ، إذا لم يكن عنوان IP الخاص بـ Target ضمن النطاق المطلوب أو أن المرجع ليس Facebook.
يتضمن موقع الويب أيضًا ملف JavaScript يحاول التواصل مع خادم مضيف محلي على المنفذ 30303 ، بالإضافة إلى استضافة برامج نصية أخرى من JavaScript المسؤولة عن تتبع عملية التثبيت وبدء طلبات البريد التي يتم التعامل معها بواسطة المكونات داخل تثبيت MSI.
من جانبها ، يقوم ملف المثبت الذي تم تنزيله من الموقع بفك عدد من مكتبات DLL ، بينما يبدأ في وقت واحد مستمعي HTTP على LocalHost: 30303 لمعالجة الطلبات الواردة من الموقع المزيف. يعني هذا الترابط أيضًا أن سلسلة العدوى تفشل في المضي قدمًا إذا لم ينجح أي من هذه المكونات.
وقالت Check Point: “لضمان أن الضحية لا يشتبه في نشاط غير طبيعي ، يفتح المثبت مقابلة ويب باستخدام MSEDGE_Proxy.exe لتوجيه الضحية إلى الموقع الشرعي للتطبيق”.
تم تصميم وحدات DLL لتحليل طلبات النشر من موقع الويب وجمع معلومات النظام وتبدأ عملية البصمات ، وبعد ذلك يتم تنشيط المعلومات التي تم التقاطها للمهاجم في شكل ملف JSON عن طريق BowerShell Backdoor.
إذا كان مضيف الضحية يعتبر ذا قيمة ، فإن سلسلة العدوى تنتقل إلى المرحلة النهائية ، مما يؤدي إلى تنفيذ البرامج الضارة JSCEAL عن طريق الاستفادة من Node.js.
تقوم البرامج الضارة ، إلى جانب إنشاء اتصالات مع خادم بعيد لتلقي مزيد من الإرشادات ، بإعداد وكيل محلي بهدف اعتراض حركة مرور الويب الخاصة بالضحية وحقن البرامج النصية الخبيثة في الخدمات المصرفية ، والعملة المشفرة ، ومواقع أخرى حساسة لسرقة بيانات اعتمادها في الوقت الفعلي.
تشمل الوظائف الأخرى لـ JSCEAL معلومات جمع نظام الجمع ، وملفات تعريف الارتباط للمتصفح ، وكلمات المرور ذات الملء التلقائي ، وبيانات حساب البرقية ، ولقطات الشاشة ، وضغط المفاتيح ، بالإضافة إلى إجراء هجمات الخصوم في الوسط (AITM) ومحافظ العملة المشفرة. يمكن أن يكون بمثابة طروادة وصول عن بُعد.
وقالت Check Point: “تم تصميم هذه القطعة المتطورة من البرامج الضارة للسيطرة المطلقة على آلة الضحايا ، بينما تكون مرنة ضد الأدوات الأمنية التقليدية”. “مزيج من الكود المترجم والتشويش الثقيل ، مع عرض مجموعة واسعة من الوظائف ، جعل جهود التحليل صعبة وتستغرق وقتًا طويلاً.”
“يتيح استخدام ملفات JSC للمهاجمين إخفاء التعليمات البرمجية ببساطة وفعالية ، ومساعدتها على التهرب من آليات الأمان ، وجعل من الصعب تحليلها.”
