Sicherheitsforscher von Check Point Software Technologies sind einer weiteren Attacke gegen Krypto-Währungen auf die Spur gekommen. Betrügerische Werbeanzeigen über Social-Media, die sich als vermeintliche Apps und Finanzdienstleister ausgeben, sollen Nutzer in die Falle locken. Die Kampagne läuft erfolgreich, vor allem in der Europäischen Union, mit über 35000 verseuchten Werbeanzeigen.
Die Hacker-Kampagne hört auf den Namen JSCEAL und läuft seit mindestens März 2024. Bislang waren die Ausweichtaktiken gegen Viren-Scanner aus Sicht der Angreifer erfolgreich, wodurch eine fortschrittliche Malware Payload auf die Geräte der Opfer geladen werden kann.
Was die Sicherheitsforscher besonders beunruhigt: JSCEAL nutzt kompilierte V8-JavaScript-Dateien (JSC), wodurch Malware sich sehr gut vor herkömmlichen Sicherheitslösungen verstecken kann. Die V8-JSC sind ein weniger bekanntes Feature der Google-Engine V8, welches die Verschleierung von Code und die Umgehung von statischer Analyse ermöglicht. Auf diese innovative Weise können Cyber-Angreifer Erkennungssystemen ausweichen, weswegen es äußerst schwierig ist, einen solchen Schadcode zu erkennen, bevor er ausgeführt wird. Die JSCEAL-Kampagne ist vor allem bemerkenswert wegen ihrer Größe, technischen Ausgereiftheit und Beharrlichkeit. Seit ihrer Entdeckung ist sie wesentlich verbessert worden.
Tausende betrügerischer Werbeanzeigen für vermeintliche Krypto-Apps haben unbedarfte Nutzer verleitet, die mit Malware versehenen Installationsprogramme herunterzuladen – und obwohl mehrfach schon entdeckt und analysiert, bleiben viele Versionen der Malware für allgemeine Sicherheitslösungen unsichtbar.
JSCEAL arbeitet in drei Schritten: Bereitstellung, Profiling-Skripte und JSC-Nutzlast. Die betrügerischen Werbeanzeigen für vermeintliche Krypto-Apps und Finanzdienstleister auf Social-Media bringen Nutzer, die darauf klicken, über mehrere Weiterleitungen zu einer betrügerischen Landing Page einer Fake Website, wo sie aufgefordert werden, einen verseuchten MSI Installer auf ihr Gerät zu laden. Diese Installationsprogramme basieren auf einem komplexen System aus JavaScript- und MSI-Komponenten. Aus diesem Grund ist es eine große Herausforderung, die Malware zu isolieren, um sie zu entdecken und zu analysieren. Wenn gestartet, dann löst der MSI-Installer eine Sequenz von Profiling-Skripten aus, die kritische Systeminformationen sammeln, wie Geräte-Daten, installierte Software und Nutzer-Konfigurationen. Die Skripte nutzen dabei PowerShell, um die Daten zu sammeln und zu verschicken, wodurch der Boden für die Malware Payload bereitet wird. Zum Abschluss wird die JSCEAL-Malware ausgeführt, welche sensible Informationen stiehlt, die mit Krypto-Geschäften zusammenhängen, darunter Zugangsdaten und ganze Wallets. Diese Malware-Nutzlast wird über Node.js ausgeführt, ein Framework, welches der Malware ermöglicht, die Erkennung durch herkömmliche Sicherheitslösungen zu umgehen.
Die Reichweite der Hacker-Kampagne bewerten die Sicherheitsforscher von Check Point als „umfangreich“, vor allem in der Europäischen Union (EU). Allein zwischen Januar und Juni 2025 wurden über 35000 betrügerische Werbeanzeigen geschaltet. Länder außerhalb der EU kommen noch obendrauf. Genutzt wird Facebooks Ad-Library, was es den Sicherheitsforschern ermöglicht hat, die Reichweite der Kampagne besser einzuschätzen. Konservativ geschätzt sehen sie rund 3,5 Millionen Nutzer, nur in der EU, bedroht und ungefähr 10 Millionen weltweit. Die JSCEAL-Kampagne an sich betrachten sie als ein gutes Beispiel dafür, wie weit Cyber-Kriminelle darin fortgeschritten sind, legitime Plattformen des Internets für ihre Zwecke zu missbrauchen. Vor allem der Krypto-Währungsbereich muss dringend mit besserer und modernerer Cyber-Sicherheit versehen werden, denn diese Kampagne lebt vor allem davon, dass durch die Nutzung der JSC-Payloads die Entdeckung durch herkömmliche Sicherheitslösungen sehr stark eingeschränkt wird.
Fortschrittliche, mehrschichtige Cyber-Sicherheitsarchitekturen, die über eine Plattform verbunden sind und zentral gesteuert werden, gut aufeinander abgestimmt arbeiten und mit Echtzeitbedrohungsdaten versorgt werden, sind dagegen in der Lage, auch solche Angriffe rechtzeitig und damit präventiv zu erkennen und zu blockieren.
Info zur Hacker-Kampagne mit der JSCEAL-Malware: https://blog.checkpoint.com/crypto/jsceal-targets-crypto-app-users-a-new-threat-in-the-cyber-security-landscape/
#CheckPoint
