网络安全公司Check Point警告称,全球约有1000万人接触到宣传假加密应用程序并带有恶意软件的在线广告。
Check Point Research 表示,他们一直在追踪一个名为“JSCEAL”的恶意软件活动,该活动通过冒充常见的加密交易应用程序来针对加密用户。
该活动至少自2024年3月以来一直活跃,并且“随着时间的推移逐渐演变”,公司补充道。它利用广告诱骗受害者安装假应用程序,这些应用程序“冒充了近50个常见的加密货币交易应用程序”,包括Binance、MetaMask和Kraken。
加密用户是各种恶意活动的主要目标,因为加密盗窃的受害者几乎没有追回资金的途径,而区块链使不法分子匿名化,难以揭露这些计划背后的人。
估计有1000万人受到恶意广告的影响
Check Point表示,Meta的广告工具显示,2025年上半年有35000个恶意广告被推广,仅在欧盟就导致“数百万次观看”。
该公司估计,至少有350万人在欧盟内接触到了这些广告活动,但它们也“冒充了亚洲的加密和金融机构”——这些地区的社交媒体用户数量相对较高。
Check Point称:“其全球触达量很容易超过1000万。”
该公司指出,通常不可能确定恶意软件活动的全部范围,广告覆盖“并不等于受害者的数量”。
恶意软件使用“独特的反规避方法”
恶意软件活动的最新版本使用了“独特的反规避方法”,导致“极低的检测率”,使其长期未被发现,Check Point表示。
点击恶意广告的受害者会被引导到一个看似合法但实际上是假的网站下载恶意软件,攻击者的网站和安装软件同时运行,Check Point表示“显著增加了分析和检测的难度”,因为它们在单独情况下很难被检测到。
假应用程序打开一个程序,指向受害者认为他们下载的应用程序的合法网站以欺骗他们,但在后台,它正在收集“敏感的用户信息,主要是与加密相关的”。
恶意软件使用流行的编程语言JavaScript,不需要受害者的输入即可运行。Check Point表示,“编译代码和大量混淆”的结合使得分析恶意软件的工作“具有挑战性且耗时”。
账户和密码被恶意软件网罗
Check Point表示,恶意软件的主要目的是收集尽可能多的感染设备信息,以便发送给威胁行为者使用。
程序收集的一些信息包括用户的键盘输入——这可以揭示密码——以及窃取Telegram账户信息和自动填充密码。
恶意软件还收集浏览器cookie,这可以显示受害者经常访问的网站,并且可以操控与加密相关的网页扩展,如MetaMask。
它表示,检测恶意JavaScript执行的反恶意软件将“非常有效”地阻止对已感染设备的攻击。