Pesquisadores de cibersegurança estão alertando sobre uma campanha em andamento que distribui aplicativos falsos de negociação de criptomoedas para implantar um malware chamado JSCEAL, escrito em V8 JavaScript compilado (JSC), capaz de capturar dados de credenciais e carteiras.
A atividade se aproveita de milhares de anúncios maliciosos postados no Facebook na tentativa de redirecionar vítimas desavisadas para sites falsificados que instruem a instalação dos aplicativos falsos, de acordo com a Check Point.
Esses anúncios são compartilhados via contas roubadas ou recém-criadas.
"Os atores separam a funcionalidade do instalador em diferentes componentes e, mais notavelmente, transferem alguma funcionalidade para os arquivos JavaScript dentro dos sites infectados," disse a empresa em uma análise.
Um fluxo de infecção modular e multicamadas permite que os atacantes adaptem novas táticas e payloads úteis em cada estágio da operação.
Vale ressaltar que alguns aspectos da atividade já foram documentados anteriormente pela Microsoft em abril de 2025 e pela WithSecure recentemente neste mês, com esta última rastreando-a como WEEVILPROXY.
De acordo com o fornecedor de segurança finlandês, a campanha está ativa desde março de 2024.
Foi descoberto que as cadeias de ataque adotam novos mecanismos anti-análise que dependem de fingerprinting baseado em scripts, antes de entregar o payload final JSC.
"Os atores de ameaças implementaram um mecanismo único que exige que tanto o site malicioso quanto o instalador sejam executados em paralelo para execução bem-sucedida, o que complica significativamente os esforços de análise e detecção," observou a empresa de cibersegurança israelense.
Clicar no link dos anúncios no Facebook desencadeia uma cadeia de redirecionamento, levando finalmente a vítima a uma página de destino falsa que imita um serviço legítimo como TradingView ou um site isca, se o endereço IP do alvo não estiver dentro de uma faixa desejada ou o referenciador não for o Facebook.
O site também inclui um arquivo JavaScript que tenta se comunicar com um servidor localhost na porta 30303, além de hospedar outros dois scripts JavaScript responsáveis por rastrear o processo de instalação e iniciar solicitações POST que são gerenciadas pelos componentes dentro do instalador MSI.
Por sua vez, o arquivo do instalador baixado do site descompacta uma série de bibliotecas DLL, ao mesmo tempo em que inicia listeners HTTP no localhost:30303 para processar solicitações POST vindas do site falso.
Essa interdependência também significa que a cadeia de infecção falha em progredir se qualquer um desses componentes não funcionar.
"Para garantir que a vítima não suspeite de atividade anormal, o instalador abre um webview usando o msedge_proxy.exe para direcionar a vítima ao site legítimo do aplicativo," disse a Check Point.
Os módulos DLL são projetados para analisar as solicitações POST do site e coletar informações do sistema e iniciar o processo de fingerprinting, após o qual as informações capturadas são exfiltradas para o atacante em forma de um arquivo JSON por meio de um backdoor PowerShell.
Se o host da vítima for considerado valioso, a cadeia de infecção avança para a etapa final, levando à execução do malware JSCEAL por meio do Node.js.
O malware, além de estabelecer conexões com um servidor remoto para receber mais instruções, configura um proxy local com o objetivo de interceptar o tráfego web da vítima e injetar scripts maliciosos em sites bancários, de criptomoedas e outros sensíveis para roubar suas credenciais em tempo real.
Outras funções do JSCEAL incluem coletar informações do sistema, cookies do navegador, senhas autocompletadas, dados da conta do Telegram, capturas de tela, pressionamentos de teclas, bem como realizar ataques de adversário-no-meio (AitM) e manipular carteiras de criptomoedas.
Ele também pode atuar como um cavalo de Troia de acesso remoto.
"Esta sofisticada peça de malware é projetada para obter controle absoluto da máquina da vítima, enquanto é resistente contra ferramentas de segurança convencionais," disse a Check Point.
A combinação de código compilado e forte ofuscação, ao exibir uma ampla variedade de funcionalidades, tornou os esforços de análise desafiadores e demorados.
Usar arquivos JSC permite que os atacantes ocultem seu código de maneira simples e eficaz, ajudando a evadir mecanismos de segurança e tornando difícil a análise.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...