仮想通貨手数料還付プラットフォーム - ヘイモアロゴ

仮想通貨分析

1,000万人以上のユーザーが、認証情報を盗む新しいJSCEALマルウェアの脆弱性を受けている可能性がある。

2025-07-31 21:45

Over 10 million users may be vulnerable to new JSCEAL malware stealing credentials

チェック・ポイント・リサーチによると、人気の高い50の暗号プラットフォームを模倣した新たな JSCEAL マルウェア・キャンペーンが発生しています。このキャンペーンは、悪意のある広告を使用して、ユーザーをターゲットとした偽のアプリケーションを配布します。全世界で推定1,000万人が攻撃にさらされています。このキャンペーンでは、コンパイルされたJavaScriptファイルを活用して、暗号通貨のウォレットや認証情報を効率的に盗み出します。悪質な広告キャンペーンは1,000万人のユーザーに到達 JSCEALキャンペーンは、2025年上半期に約35,000の悪質な広告を公開した。これらの広告は、欧州連合(EU)内で数百万ビューを記録しました。チェック・ポイントの見解によれば、これらの広告を閲覧したユーザーは全世界で約1,000万人に上るという。悪意のある行為者によって、乗っ取られたアカウントや新しいプロフィールで悪意のある素材が共有された。ソーシャルメディア上では、プロモートされた投稿によって偽広告が配信されました。広告の大半は暗号通貨、トークン、銀行に関するものだった。このキャンペーンは、ほぼ50の様々な金融機関になりすましたアプリケーションを使用して実行された。悪質業者は、リダイレクトのためにいくつかの命名規則に基づいてドメイン名を登録した。トップレベルドメインには、対応する専門用語に従って.comの拡張子が含まれていた。ドメイン内のパターンには、アプリ版、ダウンロード版、デスクトップ版、PC版、ウィンドウ版が含まれていた。各単語はドメイン内で単数または複数の意味で使われた。組み合わせによると、ルールに準拠したユニークなドメイン名が560個存在する。フェイスブック上の悪質な広告チェック・ポイント社によると、公開時点で登録されていたドメインは全体の15%に過ぎなかった。リダイレクト・チェーンは、IPアドレスとリファラー・ソースに基づいて標的をフィルタリングした。指定された範囲外の被害者には、悪意のあるコンテンツではなく、おとりサイトが送信されました。偽ページへのリダイレクトを成功させるには、Facebookのリファラーが必要でした。このフィルタリングシステムは、攻撃者がターゲットの被害者に到達する間に検知を回避するのに役立ちました。Meta's Ad Libraryは、EU圏内の広告リーチを推定した。保守的な計算では、各広告は最低100ユーザーにリーチしたと仮定している。キャンペーンの総リーチはEU圏内で350万人を超えた。非EU諸国を考慮すれば、グローバルリーチは1,000万人を軽く超えるだろう。アジアの暗号および金融機関もキャンペーンでなりすまされた。キャンペーンは検知を回避するために高度な欺瞞戦術を使用 JSCEALキャンペーンは、特定の回避防止手法を使用しているため、検知率が極めて低くなっています。チェック・ポイントの分析によれば、このマルウェアは長期間にわたって検知されないままでした。このような巧妙な手口により、攻撃者は複数のプラットフォームにおける従来のセキュリティ対策を回避することができます。悪意のある広告をクリックした被害者は、正規の偽サイトに誘導されます。偽サイトは、本物であるかのように見せかけ、悪意のあるアプリケーションのダウンロードを促します。攻撃者は、本物の暗号通貨プラットフォームのインターフェースを忠実に模倣したウェブサイトをデザインする。マルウェアは、ウェブサイトとインストール・ソフトウェアの同時操作を利用する。この二重のアプローチが、セキュリティ研究者の分析・検知作業を複雑にしている。個々のコンポーネントは、別々に調べると無害に見えるため、検出が困難になります。この騙しの手口により、被害者は正規のソフトウェアをインストールしたかのように錯覚する。その一方で、マルウェアはバックグラウンドで動作し、ユーザーに気づかれることなく機密情報を収集する。このキャンペーンは、プラットフォームになりすます手口で、特に暗号通貨ユーザーを標的としています。攻撃者は、人気のある取引アプリケーションやウォレットソフトウェアに焦点を当てている。このキャンペーンに最も影響を受けやすいのは、正規の暗号化ツールを求めるユーザーでした。チェック・ポイントの研究者は、この検知回避は非常に効果的であったと述べています。従来のセキュリティ・ソフトウェアでは、このような手口で脅威を特定することは困難でした。正規のインターフェースと隠れたマルウェアの組み合わせは、危険なシナリオを生み出します。マルウェアは暗号関連データとユーザー認証情報を組織的に収集する マルウェアの主な目的は、感染したデバイスから機密情報を収集することです。攻撃者は暗号通貨のアカウントにアクセスし、デジタル資産を盗むためにデータを収集します。情報収集は、ユーザーの操作や認識を必要とせずに自動的に行われます。JSCEALはキーボード入力をキャプチャし、アプリケーション全体のパスワードや認証情報を明らかにします。キーロギング機能は、暗号化ウォレットのパスワードを含め、ユーザーが入力するすべての情報を記録します。また、アカウント乗っ取りの可能性があるため、Telegramのアカウント情報も狙っている。また、被害者が頻繁に訪問するウェブサイトや嗜好を示すブラウザのクッキーも採取する。ブラウザに保存されたオートコンプリートパスワードも、脅威行為者がアクセスできる。重要な場所で見られるクリプトポリタンリサーチに広告を掲載し、暗号の最も鋭い投資家や構築者にリーチしましょう。

https://www.cryptopolitan.com/jsceal-malware-campaign-steal-credentials/