HackerNews 编译,转载请注明出处:
网络安全研究人员正在关注一项持续进行的攻击活动,该活动通过分发假冒加密货币交易应用来传播名为JSCEAL的编译型V8 JavaScript(JSC)恶意软件,该软件可窃取凭证和钱包数据。
根据Check Point公司的分析,此活动利用在Facebook上投放的数千条恶意广告,试图将毫无戒心的受害者重定向至虚假网站,诱导他们安装这些伪造应用。这些广告通过被盗账户或新创建的账户分享发布。
“攻击者将安装程序的功能拆分成不同的组件,尤为显著的是,将部分功能转移到了受感染网站内部的JavaScript文件中,”该公司在分析报告中指出,“这种模块化、多层次的感染流程使攻击者能在行动的每个阶段灵活调整战术和负载。”
值得注意的是,该活动的某些方面曾在2025年4月由微软以及本月早些时候由WithSecure记录在案,后者将其追踪为WEEVILPROXY。据这家芬兰安全供应商称,此活动自2024年3月就持续活跃。
研究发现,攻击链在最终投放JSC恶意负载之前,采用了一些新型反分析机制,这些机制依赖于基于脚本的指纹识别技术。
“威胁攻击者实现了一种独特的机制,要求恶意网站和安装程序必须同时运行才能成功执行,这显著增加了分析和检测的难度。”这家以色列网络安全公司指出。
点击Facebook广告中的链接会触发一系列重定向,最终根据目标的IP地址是否在期望范围或来源是否非Facebook,将受害者带至模仿TradingView等合法服务的虚假登录页或诱饵网站。
该网站还包含一个尝试与本地主机端口30303通讯的JavaScript文件,此外还托管另外两个JavaScript脚本,负责追踪安装进度以及发起由MSI安装包内组件处理的POST请求。
而从该网站下载的安装文件会解压若干DLL库,同时会在localhost:30303上启动HTTP监听器来处理来自虚假网站的传入POST请求。这种相互依赖性也意味着,如果其中任何组件失效,感染链将无法继续推进。
“为确保受害者不会怀疑异常活动,安装程序会使用msedge_proxy.exe打开一个Webview,将受害者引导至应用的官方网站。”Check Point表示。
DLL模块旨在解析来自网站的POST请求,收集系统信息并启动指纹识别过程,之后通过PowerShell后门将捕获的信息以JSON文件的形式外泄给攻击者。
如果判断受害主机有价值,感染链将进入最终阶段,通过利用Node.js执行JSCEAL恶意软件。
该恶意软件除建立与远程服务器的连接以接收进一步指令外,还会设置一个本地代理,目的是拦截受害者的网络流量,并向银行、加密货币和其他敏感网站注入恶意脚本,以实时窃取其凭证。
JSCEAL的其他功能包括收集系统信息、浏览器Cookie、自动填充密码、Telegram帐户数据、截取屏幕截图、记录按键操作、实施中间人(AitM)攻击以及操控加密货币钱包。它还可以充当远程访问木马(RAT)。
“这款复杂的恶意软件旨在完全控制受害机器,同时能抵抗常规安全工具的检测,”Check Point指出,“结合编译代码与高度混淆,同时展现出广泛的功能性,使得分析工作充满挑战且耗时。使用JSC文件使得攻击者能够简单有效地隐藏代码,助其躲避安全机制,并增加了分析难度。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
