Попередження про шкідливі крипто-додатки: 10 мільйонів жертв онлайн-реклами

Криптовалютні користувачі отримали попередження, оскільки реклама просуває шкідливі крипто-додатки. За оцінками, 10 мільйонів людей по всьому світу стали жертвами онлайн-реклами, що рекламує фейкові крипто-додатки з шкідливим ПЗ, попереджає компанія з кібербезпеки Check Point.

Дослідницька компанія Check Point повідомила у вівторок, що вона відстежувала кампанію шкідливого ПЗ, яку назвали `JSCEAL`, що націлена на користувачів криптовалют, обманюючи їх під виглядом звичайних додатків для торгівлі криптовалютами.

Кампанія активна, принаймні, з березня 2024 року і `поступово еволюціонувала з часом`, додали в компанії. Вона використовує рекламу, щоб обманювати жертв на встановлення фейкових додатків, які `переплітаються з майже 50 звичайними додатками для торгівлі криптовалютами`, включаючи Binance, MetaMask та Kraken.

Користувачі криптовалют є ключовою мішенню для різних зловмисних кампаній, оскільки жертви криптозлочинності мають мало можливостей для відшкодування своїх коштів, а блокчейни анонімізують поганих діячів, ускладнюючи виявлення тих, хто стоїть за схемами.

Check Point повідомила, що інструменти реклами Meta показали, що в першій половині 2025 року було просунуто 35,000 шкідливих оголошень, що призвело до `кількох мільйонів переглядів лише в ЄС`.

Компанія оцінила, що принаймні 3.5 мільйона осіб були піддані рекламним кампаніям в ЄС, але також `підробляли азіатські крипто- та фінансові установи` — регіони з порівняно більшою кількістю користувачів соціальних мереж.

“Глобальна охоплення може легко перевищити 10 мільйонів”, - сказав Check Point.

Компанія зазначила, що зазвичай неможливо визначити повний обсяг кампанії шкідливого ПЗ, і що реклама `не означає число жертв`.

Остання версія шкідливої кампанії використовує `унікальні методи обходу`, що призвело до `надзвичайно низьких показників виявлення` і дозволило їй залишатися невиявленою так довго.

Жертви, які натискають на шкідливу рекламу, перенаправляються на легітимно виглядаючий, але фейковий сайт для завантаження шкідливого ПЗ, при цьому веб-сайт зловмисника та програмне забезпечення для встановлення працюють одночасно, що, за словами Check Point, `значно ускладнює аналіз та виявлення` через їх труднощі в виявленні окремо.

Фейковий додаток відкриває програму, що веде до легітимного сайту додатку, який жертва вважає, що завантажила, щоб ввести в оману, але на фоні він збирає `чутливу інформацію, пов’язану з користувачем, переважно криптовалютну`.

Шкідливе ПЗ використовує популярну мову програмування JavaScript, яка не вимагає вводу жертви для виконання. Check Point зазначила, що `комбінація скомпільованого коду та важкого обфускації` ускладнює аналіз шкідливого ПЗ.

Check Point заявила, що основна мета шкідливого ПЗ — зібрати якомога більше інформації з інфікованого пристрою для її передачі зловмиснику.

Деяка інформація, яку програми збирали, включала введення з клавіатури користувача — що може розкрити паролі — разом із вкраданням інформації з облікових записів Telegram та автозаповненням паролів.

Шкідливе ПЗ також збирає файли cookie браузера, які можуть показувати, які сайти часто відвідує жертва, і може маніпулювати веб-розширеннями, пов’язаними з криптовалютами, такими як MetaMask.

Вона наголосила, що антивірусне програмне забезпечення, яке виявляє шкідливі виконання JavaScript, було б `дуже ефективним` у зупиненні атаки на вже інфікований пристрій.