随着数字货币市场的快速发展,加密货币交易平台和相关应用的用户数量激增,而这也成为了黑客攻击的新目标。最近,安全研究人员揭露了一项新的恶意活动,黑客通过Facebook广告大规模传播一种名为JSCEAL的恶意软件。该恶意软件伪装成加密货币交易应用,诱骗用户下载安装,进而窃取用户账号信息、数字钱包数据及其他敏感信息。此攻击事件表明,网络犯罪分子正在利用社交平台的广泛影响力,结合复杂的技术手段,实施针对加密货币用户的精准攻击。 JSCEAL恶意软件在技术实现上采用了编译过的V8 JavaScript代码,隐藏了其恶意逻辑,使得传统安全检测工具难以识别。攻击链始于大量恶意广告,这些广告通过被盗取的Facebook账户或新建虚假账户发布,吸引用户点击后进入伪造的登录或者交易界面。
这些伪造页面高度仿真,模仿著名的加密货币行情及交易网站,如TradingView等,目的在于增强欺骗性和可信度。 用户一旦点击广告链接,就会经历多重的重定向过程,这其中包含IP地址检测和访问来源验证。如果识别到访问者的IP地址不在预期范围内,或访问来源非Facebook,则会重定向至空白或无害的页面,以隐藏该恶意活动的真实意图和技术细节。若验证通过,用户会被引导下载安装一个经过精心设计的安装包。 值得注意的是,这个安装程序由多个组件构成,采用多层模块化设计。恶意网站内嵌的JavaScript文件与安装程序互相通信,通过本地服务器端口进行数据交互。
安装程序解包多种DLL动态链接库文件,启动HTTP监听器,等待网页发送的POST请求。这种设计使得恶意活动依赖于网络层和本地进程的协同运行,提高了分析难度和检测门槛。 为了减少受害者的怀疑,安装程序还会启动一个名为msedge_proxy.exe的进程,通过内置的WebView组件打开真实交易网站界面,掩盖了程序在后台的恶意行为。此类技术不仅延缓了用户对异常活动的察觉,也给安全分析人员带来了挑战。后台加载的DLL文件负责解析来自网站的数据,采集系统信息、浏览器指纹和其他关键数据,随后通过PowerShell反向连接将信息以JSON格式传输至攻击者控制服务器。 如果分析得出的信息显示受害者主机具有较高价值,比如持有大量加密货币资产,恶意程序便会进入最终阶段,执行完全版JSCEAL恶意软件。
该软件基于Node.js技术构建,具备多功能间谍能力。它能够劫持本地流量,在受害者访问银行、加密货币交换平台及其他关键网站时,实时注入恶意脚本窃取账户凭据和钱包私钥。同时,JSCEAL也会捕获系统信息、浏览器Cookie、自动填充的密码、Telegram账号数据、屏幕截图和键盘输入等敏感信息。 除了信息窃取,JSCEAL还能发起对抗性中间人攻击(Adversary-in-the-Middle,AitM),伪装成合法服务与服务器通信,以达到更深层次的控制权。其还可以作为远程访问木马使用,允许攻击者完全掌控受感染的系统。黑客通过这种复杂的恶意软件实现了对受害者设备的绝对控制,并具有高度的隐蔽性和反检测能力,令传统安全工具难以捕捉和清除。
这一恶意活动自2024年3月开始活跃,芬兰安全公司WithSecure将其追踪名称定为WEEVILPROXY,微软在2025年4月也曾报道过相关攻击。截至2025年7月,针对JSCEAL的攻击仍在持续,且攻击者不断改进其防分析技术,如基于脚本的设备指纹识别机制,以规避自动化检测工具。 社交媒体成为恶意软件传播的渠道并不罕见,但此次事件尤为显著,因为黑客通过大量真实或冒用账户发布广告,利用Facebook庞大的用户基础放大攻击影响力。虚假广告往往声称是最新的加密货币交易软件,吸引对数字货币感兴趣的用户下载并安装。由于很多用户难以分辨真伪,很容易落入陷阱,造成财产和隐私的严重损失。 针对这种情况,用户应增强安全意识,谨慎处理来自社交媒体的应用下载链接,优先从官方渠道获取软件。
保持操作系统和防病毒软件更新至最新版本,可提升检测未知威胁的能力。同时,定期监控账户和钱包的交易状况,及时发现异常行为也至关重要。 企业和安全机构应合作,共享威胁情报,加大对社交媒体平台广告内容的审查力度。Facebook及类似社交平台需要进一步完善广告发布和账户验证机制,防止被恶意账户滥用。安全研究者应持续分析JSCEAL及其变种,以提升检测规则和防御措施的有效性。 在网络安全环境日益复杂的今天,针对加密货币用户的攻击手段更趋隐蔽和多样。
JSCEAL恶意软件利用Facebook广告平台散播,不仅暴露了社交媒体渠道的安全风险,也警示我们防范针对数字资产的高级威胁必须从源头广告及应用安装环节切入。唯有构建多层次、全方位的安全防护体系,强化用户安全意识和技术防御,才能有效抵御这类高隐蔽性的恶意攻击,保障数字经济发展的稳健性与安全性。面对不断演进的技术攻击,持续关注安全动态,采取协同防御策略,是每个个体与组织不可忽视的安全课题。
