Angriffsweg der JSCEAL-Malware


JSCEAL-Malware bedroht Nutzer von Krypto-Währungen im großen Stil
Attacke gegen Krypto-Währungen: Betrügerische Werbeanzeigen über Social Media, die sich als vermeintliche Apps und Finanzdienstleister ausgeben, sollen Nutzer in die Falle locken - Die Kampagne läuft erfolgreich, vor allem in der Europäischen Union, mit über 35.000 verseuchten Werbeanzeigen


Check Point Research (CPR), die Sicherheitsforschungsabteilung von Check Point Software Technologies hat rund 35.000 betrügerische Werbeanzeigen in Krypto-Apps gefunden, vorrangig in der EU. Die Hacker-Kampagne hört auf den Namen JSCEAL und läuft seit mindestens März 2024. Bislang waren die Ausweichtaktiken gegen Viren-Scanner aus Sicht der Angreifer erfolgreich, wodurch eine fortschrittliche Malware Payload auf die Geräte der Opfer geladen werden kann.

Was die Sicherheitsforscher besonders beunruhigt: JSCEAL nutzt kompilierte V8 JavaScript-Dateien (JSC), wodurch Malware sich sehr gut vor herkömmlichen Sicherheitslösungen verstecken kann. Die V8 JSC sind ein weniger bekanntes Feature der Google Engine V8, welches die Verschleierung von Code und die Umgehung von statischer Analyse ermöglicht. Auf diese innovative Weise können Cyber-Angreifer Erkennungssystemen ausweichen, weswegen es äußerst schwierig ist, einen solchen Schad-Code zu erkennen, bevor er ausgeführt wird. Die JSCEAL-Kampagne ist vor allem bemerkenswert wegen ihrer Größe, technischen Ausgereiftheit und Beharrlichkeit. Seit ihrer Entdeckung ist sie wesentlich verbessert worden.

Tausende betrügerischer Werbeanzeigen für vermeintliche Krypto-Apps haben unbedarfte Nutzer verleitet, die mit Malware versehenen Installationsprogramme herunterzuladen – und obwohl mehrfach schon entdeckt und analysiert, bleiben viele Versionen der Malware für allgemeine Sicherheitslösungen unsichtbar.

JSCEAL arbeitet in drei Schritten: Bereitstellung, Profiling-Skripte und JSC-Nutzlast. Die betrügerischen Werbeanzeigen für vermeintliche Krypto-Apps und Finanzdienstleister auf Social Media bringen Nutzer, die darauf klicken, über mehrere Weiterleitungen zu einer betrügerischen Landing Page einer Fake Website, wo sie aufgefordert werden, einen verseuchten MSI Installer auf ihr Gerät zu laden. Diese Installationsprogramme basieren auf einem komplexen System aus JavaScript- und MSI-Komponenten.

Aus diesem Grund ist es eine große Herausforderung, die Malware zu isolieren, um sie zu entdecken und zu analysieren. Wenn gestartet, dann löst der MSI Installer eine Sequenz von Profiling-Skripten aus, die kritische Systeminformationen sammeln, wie Geräte-Daten, installierte Software und Nutzer-Konfigurationen. Die Skripte nutzen dabei PowerShell, um die Daten zu sammeln und zu verschicken, wodurch der Boden für die Malware Payload bereitet wird. Zum Abschluss wird die JSCEAL-Malware ausgeführt, welche sensible Informationen stiehlt, die mit Krypto-Geschäften zusammenhängen, darunter Zugangsdaten und ganze Wallets. Diese Malware-Nutzlast wird über Node.js ausgeführt, ein Framework, welches der Malware ermöglicht, die Erkennung durch herkömmliche Sicherheitslösungen zu umgehen.

Die Reichweite der Hacker-Kampagne bewerten die Sicherheitsforscher von Check Point als „umfangreich“, vor allem in der Europäischen Union (EU). Allein zwischen Januar und Juni 2025 wurden über 35000 betrügerische Werbeanzeigen geschaltet. Länder außerhalb der EU kommen noch obendrauf. Genutzt wird Facebooks Ad Library, was es den Sicherheitsforschern ermöglicht hat, die Reichweite der Kampagne besser einzuschätzen. Konservativ geschätzt sehen sie rund 3,5 Millionen Nutzer, nur in der EU, bedroht und ungefähr 10 Millionen weltweit.

Die JSCEAL-Kampagne an sich betrachten sie als ein gutes Beispiel dafür, wie weit Cyber-Kriminelle darin fortgeschritten sind, legitime Plattformen des Internets für ihre Zwecke zu missbrauchen. Vor allem der Krypto-Währungsbereich muss dringend mit besserer und modernerer Cyber-Sicherheit versehen werden, denn diese Kampagne lebt vor allem davon, dass durch die Nutzung der JSC-Payloads die Entdeckung durch herkömmliche Sicherheitslösungen sehr stark eingeschränkt wird.

Fortschrittliche, mehrschichtige Cyber-Sicherheitsarchitekturen, die über eine Plattform verbunden sind und zentral gesteuert werden, gut aufeinander abgestimmt arbeiten und mit Echtzeitbedrohungsdaten versorgt werden, sind dagegen in der Lage, auch solche Angriffe rechtzeitig und damit präventiv zu erkennen und zu blockieren.

Alles Weitere lesen Sie hier: https://blog.checkpoint.com/crypto/jsceal-targets-crypto-app-users-a-new-threat-in-the-cyber-security-landscape/
(Check Point Software Technologies: ra)

eingetragen: 29.07.25

Bitdefender: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Finanzieller Schaden und Reputationsverlust

    Die benutzerfreundliche Plattform von Instagram hat die Art und Weise stark verändert, wie Unternehmen mit ihren (potenziellen) Kunden in Kontakt treten. Diese Zugänglichkeit hat jedoch auch eine erhebliche Schwachstelle geschaffen: Instagram-Imitationen, eine wachsende Bedrohung, welche die Finanzen und den guten Ruf von Unternehmen ernsthaft gefährdet.

  • Strategiewandel von Hackern

    "Sie hacken nicht mehr, sie loggen sich ein" ist ein oft zitierter Satz zu zeitgenössischen Infiltrationsmethoden von Hackern - und das mit Recht: Im Juni verkaufte ein Mitarbeiter eines Software-Dienstleisters für Banken seine Logindaten für 920 Dollar an Cyberkriminelle. Die Hacker wussten genau, wen sie bestechen mussten, denn mit seinen Zugangsdaten und der Verbindungen der Firma zu diversen Finanzhäusern waren sie in der Lage, sechs Banken auf einmal zu infiltrieren und dabei 140 Millionen Dollar zu entwenden.

  • Backhauling wird eliminiert

    Das Appliance-basierte VPN wurde zu einer Zeit und für eine Welt entwickelt, in der die meisten Menschen fünf Tage pro Woche im Büro arbeiteten, Fernzugriff in großem Umfang nicht zum Alltag gehörte und Cloud-Anwendungen selten waren. Seinerzeit war es sinnvoll, den Datenverkehr über eine Handvoll Verbindungspunkte zu zentralisieren. In der modernen Welt mit national und international verteilten Teams und Ressourcen wird dieses Modell über seine Grenzen hinaus beansprucht.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen