JSCEAL kampány
A Check Point Research vizsgálata szerint a JSCEAL kampány aktívan célozza meg a kriptoalkalmazások felhasználóit 2025-ben. A támadók több százezer hamis reklámot jelenítettek meg – csak az EU-ban 35 000 reklám jelent meg, amelyek akár 3,5 millió emberhez jutottak el fél év alatt, és világszinten jó eséllyel meghaladták a 10 milliós elérést. Ezek a hirdetések jól ismert kriptotőzsdék és pénzügyi szolgáltatók nevét használták, hamis weboldalakra irányítva a felhasználókat ártalmatlan alkalmazástelepítőkkel.
A fertőzés láncolata több fázisból áll: először a felhasználó letölti és elindítja az MSI telepítőt, amely PowerShell-alapú lekérdezésekkel adatokat gyűjt a rendszerről. Ezt követően a végső payload végrehajtódik egy Node.js futtatókörnyezetben, amely JSC(Compiled JavaScript) formátumú kódot futtat – ez az új technika lehetővé teszi, hogy a kártevő elkerülje a hagyományos vírusellenőrző védekezéseket.
A JSCEAL malware célkeresztjében főként kriptovaluta-számlák, tárcák és belépési adatok állnak. A megtámadott gépen a kártevő rendszerszintű hozzáférést biztosít, képes más szoftverek adatait gyűjteni, böngésző-munkameneteket manipulálni, vagy akár a jelszókezelést is befolyásolni. A JSC típusú kód észrevétlensége miatt a fertőzés nagyon nehezen észlelhető – sok változat hónapokig rejtve maradt biztonsági eszközök elől
