Внимание! Пользователи криптовалюты подвергаются риску из-за вредоносной рекламы и фальшивых приложений

Пользователи криптовалюты предупреждены: реклама подталкивает к загрузке приложений с вредоносным ПО

По估лениям, около 10 миллионов людей по всему миру были подвергнуты воздействию онлайн-рекламы, рекламирующей фальшивые приложения для криптовалюты с вредоносным программным обеспечением, что предупреждает компания по кибербезопасности Check Point.

Check Point Research сообщила во вторник, что она отслеживает кампанию вредоносного ПО, которую назвала «JSCEAL», нацеливающуюся на пользователей криптовалюты под видом популярных приложений для торговли криптовалютой.

Кампания активно действует как минимум с марта 2024 года и «постепенно развивалась со временем», добавила компания. Она использует рекламу, чтобы обмануть жертв, заставив их установить фальшивые приложения, которые «имитируют почти 50 популярных приложений для торговли криптовалютой», включая Binance, MetaMask и Kraken.

Пользователи криптовалюты являются ключевой целью различных злонамеренных кампаний, так как жертвы кражи криптовалюты имеют мало возможностей для восстановления своих средств, а блокчейны анонимизируют недобросовестных участников, делая сложно выявить тех, кто стоит за схемами. Около 10 миллионов, по оценкам, стали жертвами злонамеренной рекламы.

Check Point заявила, что рекламные инструменты Meta показали, что в первой половине 2025 года было продвигалось 35,000 злонамеренных объявлений, что привело к «несколько миллионам просмотров только в ЕС».

Компания оценивает, что по меньшей мере 3,5 миллиона человек подверглись воздействию рекламных кампаний в пределах ЕС, но они также «имитировали азиатские крипто- и финансовые учреждения» — регионы с сравнительно большим числом пользователей социальных сетей.

«Глобальный охват может легко превысить 10 миллионов», — сообщила Check Point.

Злонамеренные объявления в Facebook используют логотип популярного сайта финансовых данных TradingView.

Компания отметила, что обычно невозможно определить полную масштаб кампании вредоносного ПО и что охват рекламы «не равен количеству жертв».

Вредоносное ПО использует «уникальные методы уклонения»

Последняя версия кампании вредоносного ПО использует «уникальные методы уклонения», что привело к «крайне низким показателям обнаружения» и позволило ей оставаться невыявленной так долго, сообщила Check Point.

Жертвы, кликнувшие на злонамеренное объявление, перенаправляются на легитимно выглядящий, но фальшивый сайт для загрузки вредоносного ПО, и веб-сайт атакующего и программное обеспечение установки работают одновременно, что, по мнению Check Point, «значительно усложняет анализ и усилия по обнаружению», так как их трудно выявить изолировано.

Фальшивое приложение открывает программу, которая направляется на легитимный сайт приложения, который, как считает жертва, была загружена для обмана, но в фоновом режиме оно собирает «чувствительную информацию о пользователе, в основном связанную с криптовалютой».

Согласно отчету, злоумышленники используют «сложную схему социального инжиниринга» для нацеливания на пользователей криптовалюты.

Вредоносное ПО использует популярный язык программирования JavaScript, который не требует ввода от жертвы для запуска. Check Point сообщила, что «комбинация скомпилированного кода и серьезной обфускации» делает анализ вредоносного ПО «сложным и времязатратным».

Собранные вредоносным ПО учетные записи и пароли

Check Point сообщает, что основная задача вредоносного ПО — собрать как можно больше информации на инфицированном устройстве, чтобы отправить ее злоумышленнику для использования.

Некоторая информация, которую программы собирали, включала ввод пароля пользователей — который может раскрыть пароли — в дополнение к краже информации учетной записи Telegram и паролей автозаполнения.

Вредоносное ПО также собирает куки браузера, которые могут показать, какие сайты жертва посещает часто, и может манипулировать расширениями веб для криптовалюты, такими как MetaMask.

Компания заявила, что антивредоносное программное обеспечение, которое обнаруживает злонамеренные исполнения JavaScript, будет «очень эффективным» в предотвращении атаки на уже инфицированное устройство.

Журнал: Внутри фермы из 30,000 телефонов, крадущей криптовалютные эирдропы у реальных пользователей