網路安全公司Check Point警告稱,全球約有1000萬人接觸到宣傳假加密應用程式並帶有惡意軟體的線上廣告。
Check Point Research表示,他們一直在追蹤一個名為“JSCEAL”的惡意軟體活動,該活動通過冒充常見的加密交易應用程式來針對加密用戶。
該活動至少自2024年3月以來一直活躍,並且“隨著時間的推移逐漸演變”,公司補充道。它利用廣告誘騙受害者安裝假應用程式,這些應用程式“冒充了近50個常見的加密貨幣交易應用程式”,包括Binance、MetaMask和Kraken。
加密用戶是各種惡意活動的主要目標,因為加密盜竊的受害者幾乎沒有追回資金的途徑,而區塊鏈使不法分子匿名化,難以揭露這些計畫背後的人。
估計有1000萬人受到惡意廣告的影響
Check Point表示,Meta的廣告工具顯示,2025年上半年有35,000個惡意廣告被推廣,僅在歐盟就導致“數百萬次觀看”。
該公司估計,至少有350萬人在歐盟內接觸到了這些廣告活動,但它們也“冒充了亞洲的加密和金融機構”——這些地區的社交媒體用戶數量相對較高。
Check Point稱:“其全球觸達量很容易超過1000萬。”
該公司指出,通常不可能確定惡意軟體活動的全部範圍,廣告覆蓋“並不等於受害者的數量”。
惡意軟體使用“獨特的反規避方法”
惡意軟體活動的最新版本使用了“獨特的反規避方法”,導致“極低的檢測率”,使其長期未被發現,Check Point表示。
點擊惡意廣告的受害者會被引導到一個看似合法但實際上是假的網站下載惡意軟體,攻擊者的網站和安裝軟體同時運行,Check Point表示“顯著增加了分析和檢測的難度”,因為它們在單獨情況下很難被檢測到。
假應用程式打開一個程式,指向受害者認為他們下載的應用程式的合法網站以欺騙他們,但在背景中,它正在收集“敏感的用戶資訊,主要是與加密相關的”。
惡意軟體使用流行的程式語言JavaScript,不需要受害者的輸入即可運行。Check Point表示,“編譯代碼和大量混淆”的結合使得分析惡意軟體的工作“具有挑戰性且耗時”。
帳戶和密碼被惡意軟體網羅
Check Point表示,惡意軟體的主要目的是收集盡可能多的感染設備資訊,以便發送給威脅行為者使用。
程式收集的一些資訊包括用戶的鍵盤輸入——這可以揭示密碼——以及竊取Telegram帳戶資訊和自動填充密碼。
惡意軟體還收集瀏覽器cookie,這可以顯示受害者經常訪問的網站,並且可以操控與加密相關的網頁擴展,如MetaMask。
它表示,檢測惡意JavaScript執行的反惡意軟體將“非常有效”地阻止對已感染設備的攻擊。