超过 1000 万用户可能受到新型 JSCEAL 恶意软件的攻击，窃取dent

据 Check Point Research 称，一项新的 JSCEAL 恶意软件活动模仿了 50 个流行的加密平台。该活动利用恶意广告来分发针对用户的虚假应用程序。

全球约有1000万人遭受攻击。该活动利用编译后的JavaScript文件有效窃取加密货币钱包和dent。

恶意广告活动影响了 1000 万用户

JSCEAL 活动在 2025 年上半年发现了约 3.5 万条恶意广告。这些广告本身在欧盟就获得了数百万次的浏览量。Check Point Research 估计，全球约有 1000 万人浏览了这些广告。

恶意行为者在被劫持的账户或新个人资料上分享恶意内容。推广帖子协助在社交媒体上传播虚假广告。这些广告主要讨论加密货币、代币和银行。

此次攻击活动利用近50家金融机构的欺诈应用程序开展。攻击者根据某些命名约定注册域名，用于重定向。顶级域名包含与相应术语相符的.com扩展名。

该域名的模式包括应用程序、下载、桌面、PC 和窗口版本。每个单词在域名中均以单数或复数形式使用。组合分析显示，有 560 个唯一域名符合规则。

截至发布时，仅有 15% 的潜在域名已被注册。重定向链会根据 IP 地址和引荐来源筛选目标。

目标范围之外的受害者会收到诱饵网站而非恶意内容。成功重定向至虚假页面需要 Facebook 引荐来源网址。过滤系统帮助攻击者在到达目标受害者时避免被发现。

Meta 的广告库提供了欧盟境内广告覆盖率的估算值。保守计算假设每个广告至少覆盖 100 位用户。此次活动在欧盟境内的总覆盖人数超过 350 万。

考虑到非欧盟国家，全球影响范围很容易超过 1000 万。亚洲加密货币和金融机构也参与了此次攻击活动。

该活动使用复杂的欺骗手段来避免被发现

JSCEAL 活动使用了某些反规避方法，导致检测率极低。根据 Check Point 分析，该恶意软件长时间未被检测到。这些复杂的技术可帮助攻击者绕过跨多个平台的传统安全措施。

点击恶意广告的受害者会被引导至看似合法的虚假网站。这些虚假网站会鼓励用户下载看似真实的恶意应用程序。攻击者会精心设计网站，使其界面与真实的加密货币平台界面高度相似。

该恶意软件利用网站和安装软件同时运行的特性。这种双重操作方式使安全研究人员的分析和检测工作变得复杂。单独检查时，各个组件似乎无害，这使得检测变得十分困难。

这种欺骗手段会让受害者误以为他们安装了正版软件。与此同时，恶意软件会在后台运行，在用户不知情的情况下收集敏感信息。

该活动专门通过平台冒充策略攻击加密货币用户。攻击者主要攻击热门交易应用程序和钱包软件。寻求合法加密工具的用户最容易受到该活动的攻击。

Check Point 研究人员认为这种逃避检测的方法非常有效。传统安全软件很难通过这些方法dent威胁。看似合法的界面与隐藏的恶意软件相结合，会造成危险的情况。

恶意软件matic地收集与加密相关的数据和用户dent

该恶意软件的主要目的是从受感染的设备收集敏感信息。攻击者收集数据以访问加密货币账户并窃取数字资产。信息收集过程自动matic，无需用户交互或知晓。

JSCEAL 会捕获键盘输入，泄露跨应用程序的密码和dent验证凭证。其键盘记录功能会记录用户输入的所有内容，包括加密钱包密码。他们还会锁定 Telegram 账户信息，以期实现账户接管。

他们还会收集浏览器 Cookie，显示受害者经常访问的网站和偏好设置。浏览器中存储的自动完成密码也容易被威胁者获取。

钥匙差线：秘密工具加密项目用于获得保证媒体覆盖