Deep Web
Οι χάκερς χρησιμοποιούν Facebook Ads για διάδοση του JSCEAL
Οι χάκερς αξιοποιούν το Facebook για διάδοση κακόβουλου λογισμικού JSCEAL μέσω ψεύτικων εφαρμογών κρυπτογράφησης.
Ανησυχητική εξάπλωση του κακόβουλου λογισμικού μέσω ψεύτικων εφαρμογών
Οι ερευνητές κυβερνοασφάλειας εφιστούν την προσοχή σε μια συνεχιζόμενη καμπάνια που διανέμει ψεύτικες εφαρμογές κρυπτογράφησης με σκοπό την εγκατάσταση ενός κακόβουλου λογισμικού JavaScript (JSCEAL), το οποίο μπορεί να συλλέξει δεδομένα από διαπιστευτήρια και πορτοφόλια. Η δραστηριότητα αυτή εκμεταλλεύεται χιλιάδες κακόβουλες διαφημίσεις στο Facebook για να ανακατευθύνει ανυποψίαστα θύματα σε ψεύτικες ιστοσελίδες που τα καθοδηγούν να εγκαταστήσουν τις ψεύτικες εφαρμογές.
Η στρατηγική των χάκερς και η ανάλυση της Check Point
Σύμφωνα με την Check Point, οι διαφημίσεις αυτές διακινούνται είτε μέσω κλεμμένων λογαριασμών είτε μέσω νέων που δημιουργούνται γι’ αυτόν τον σκοπό. Οι χάκερς χωρίζουν τη λειτουργικότητα του installer σε διαφορετικά στοιχεία, μεταφέροντας ορισμένες λειτουργίες στα αρχεία JavaScript μέσα στις μολυσμένες ιστοσελίδες. Αυτή η πολυεπίπεδη προσέγγιση επιτρέπει στους επιτιθέμενους να προσαρμόζουν νέες τακτικές και φορτία σε κάθε στάδιο της επιχείρησης.
Η αλληλεπίδραση με άλλες εταιρείες ασφαλείας
Αξίζει να σημειωθεί ότι ορισμένες πτυχές αυτής της δραστηριότητας είχαν προηγουμένως τεκμηριωθεί από τη Microsoft τον Απρίλιο του 2025, καθώς και από την WithSecure πρόσφατα, η οποία το παρακολουθεί ως WEEVILPROXY. Σύμφωνα με τη φινλανδική εταιρεία ασφάλειας, η καμπάνια είναι ενεργή από τον Μάρτιο του 2024.
Τεχνικές λεπτομέρειες και αντι-αναλυτικά μέτρα
Οι αλυσίδες επίθεσης υιοθετούν νέους μηχανισμούς αντι-ανάλυσης που βασίζονται σε script-based fingerprinting, πριν την παράδοση του τελικού φορτίου JSC. Οι επιτιθέμενοι υλοποίησαν έναν μοναδικό μηχανισμό που απαιτεί την εκτέλεση του κακόβουλου site και του installer παράλληλα για επιτυχή εκτέλεση, κάτι που περιπλέκει σημαντικά τις προσπάθειες ανάλυσης και ανίχνευσης.
Η διαδικασία ανακατεύθυνσης και η αλληλεπίδραση με τον χρήστη
Κάνοντας κλικ στον σύνδεσμο στις διαφημίσεις του Facebook, ενεργοποιείται μια αλυσίδα ανακατεύθυνσης που τελικά οδηγεί το θύμα σε μια ψεύτικη σελίδα προσγείωσης που μιμείται μια νόμιμη υπηρεσία όπως το TradingView, ή σε μια παραπλανητική ιστοσελίδα αν η διεύθυνση IP του στόχου δεν είναι εντός της επιθυμητής εμβέλειας ή ο αναφερόμενος δεν είναι το Facebook.
Η δομή του κακόβουλου λογισμικού και οι λειτουργίες του
Η ιστοσελίδα περιλαμβάνει επίσης ένα αρχείο JavaScript που προσπαθεί να επικοινωνήσει με έναν τοπικό διακομιστή στην θύρα 30303, εκτός από τη φιλοξενία δύο άλλων JavaScript scripts που είναι υπεύθυνα για την παρακολούθηση της διαδικασίας εγκατάστασης και την εκκίνηση αιτήσεων POST που διαχειρίζονται τα στοιχεία εντός του MSI installer. Το αρχείο installer που κατεβαίνει από την ιστοσελίδα αποσυμπιέζει διάφορες βιβλιοθήκες DLL, ενώ ταυτόχρονα ξεκινά ακροατές HTTP στο localhost:30303 για την επεξεργασία εισερχόμενων αιτήσεων POST από την ψεύτικη ιστοσελίδα.
Η εξειδικευμένη λειτουργικότητα του JSCEAL
Το JSCEAL, εκτός από την καθιέρωση συνδέσεων με έναν απομακρυσμένο διακομιστή για να λάβει περαιτέρω οδηγίες, δημιουργεί έναν τοπικό proxy με στόχο την υποκλοπή της διαδικτυακής κίνησης του θύματος και την ενσωμάτωση κακόβουλων scripts σε τραπεζικές, κρυπτογραφικές και άλλες ευαίσθητες ιστοσελίδες για την κλοπή των διαπιστευτηρίων τους σε πραγματικό χρόνο. Άλλες λειτουργίες περιλαμβάνουν τη συλλογή πληροφοριών συστήματος, cookies του προγράμματος περιήγησης, αυτόματες συμπληρώσεις κωδικών, δεδομένα λογαριασμών Telegram, στιγμιότυπα οθόνης, καταγραφές πληκτρολογίων, καθώς και την εκτέλεση επιθέσεων adversary-in-the-middle (AitM) και τη χειραγώγηση κρυπτογραφικών πορτοφολιών. Μπορεί επίσης να λειτουργήσει ως απομακρυσμένο trojan πρόσβασης.
Συμπεράσματα και προκλήσεις ανάλυσης
Αυτό το εξελιγμένο κομμάτι κακόβουλου λογισμικού έχει σχεδιαστεί για να αποκτήσει απόλυτο έλεγχο του μηχανήματος του θύματος, ενώ παραμένει ανθεκτικό έναντι των συμβατικών εργαλείων ασφαλείας. Ο συνδυασμός μεταγλωττισμένου κώδικα και βαριάς σύγχυσης, ενώ επιδεικνύει μια ευρεία γκάμα λειτουργικότητας, καθιστά τις προσπάθειες ανάλυσης δύσκολες και χρονοβόρες. Η χρήση αρχείων JSC επιτρέπει στους επιτιθέμενους να αποκρύπτουν απλά και αποτελεσματικά τον κώδικά τους, βοηθώντας τον να αποφύγει τους μηχανισμούς ασφαλείας και καθιστώντας την ανάλυση περίπλοκη.
< <
