Embedded Files
Datum: 3.8.2025 - 15:08
Jarko Ačjak
Bezpečnostní analytici ukazujú novú hackerskú kampaň, ktorá zneužíva reklamy na Facebooku.
Najnovšia verzia kampane si adaptovala jedinečné mechanizmy proti analýze. Útok sa začína stiahnutím MSI inštalátorov z falošných stránok. Tieto falošné stránky propagujú hackeri cez malvertising na sociálnej sieti Facebook. Po spustení inštalátora sa spúšťajú komplexné scripty, ktoré ale nakoniec vedú k poslednému škodlivému súboru v JavaScripte.
Bezpečnostní analytici z Check Point Research objavili novú hackerskú kampaň, ktorá sa šíri cez sociálnu sieť Facebook. Hackeri cielia na investorov do kryptomien a ich útok sa zakladá na zneužití Node.JS.
Novú hackerskú kampaň nazvali odborníci JSCEAL. Hackeri v rámci nej napodobňujú niekoľko najpoužívanejších aplikácií na obchodovanie s kryptomenami. Hackeri sú aktívny najmenej od roku 2024 a postupom času vyvíjali svoje taktiky.
Hackeri sa dokážu vyhnúť odhaleniu
Hackeri sa dokážu vyhnúť odhaleniu
Počas analýzy expertov získali prístup k stovkám vzoriek, ktoré boli nahrané na VirusTotal a dlhú dobu ostávali neodhalené.
Bezpečnostní analytici zároveň vysvetľujú, že JSCEAL kampaň je len jednou z niekoľkých nových kampaní, ktoré zneužívajú kompilované JavaScript súbory. Spomedzi všetkých je však najväčšou s najväčším dosahom a technologickou sofistikovanosťou.
Začiatky JSCEAL kampane prebiehali limitovane. Postupne sa však hackeri zlepšovali a dnes ide o desivo sofistikovanú operáciu. Kampaň hackerov vo svojich posledných fázach získala obrovské množstvo falošných domén a adaptovala si špecifické techniky na vyhnutie sa odhaleniu. Zaujímavosťou je, že aby sa hackeri vyhli odhaleniu, v niektorých prípadoch dokonca prerušia útok, teda malvér do zariadenia nenainštalujú. To ukazuje, že kyberzločinci fungujú podľa plánu a v nutných prípadoch majú aj zdržanlivosť.
Ako sme už spomenuli, hackeri oslovujú potenciálne obete prostredníctvom podvodných reklám na Facebooku. Reklamy sa snažia užívateľov presvedčiť, aby si nainštalovali výhodnú aplikáciu na obchodovanie s kryptomenami. Namiesto aplikácie sa však stiahne škodlivý inštalátor, ktorý začne proces infekcie.
Bezpečnostní analytici ďalej vysvetľujú, že útok prebieha v troch hlavných štádiách. Sú to Prvotné spustenie, Profilovacie skripty a Finálne JSC doručenie. V prvej fáze sa pokúšajú hackeri presvedčiť užívateľov na stiahnutie malvéru pomocou falošnej Facebook reklamy. Ak sa užívateľ chytí a klikne na odkaz, dostáva sa na webovú stránku kontrolovanú útočníkmi. Namiesto aplikácie na kryptomeny sa užívateľom do počítača stiahne MSI inštalátor so škodlivým kódom.
Zaujímavosťou je, že aby útok pokračoval ďalej, na zariadení užívateľa musí byť otvorená škodlivá stránka aj spustený inštalátor. Ak jedno z toho chýba, útok sa neposúva ďalej. Ide o naozaj šikovnú metódu, ako sa vyhnúť odhaleniu.
Útok pokračuje len pri výhodných cieľoch
Útok pokračuje len pri výhodných cieľoch
V rámci profilovania hackeri vytiahnu zo zariadenia prakticky všetky informácie o ňom. To zahŕňa nainštalovaný softvér, UAC nastavenia, proxy konfigurácie, polohu, operačný systém, informácie o sieti a ďalšie. Všetky informácie sa vložia do JSON súboru, ktorý následne malvér posiela hackerom. Potom čaká na ďalšie príkazy.
Malvér neinfikuje všetky zariadenia, no finálny krok, teda samotnú inštaláciu malvéru, necháva na samotných hackeroch. Keď vyhodnotia, že môže ísť o potenciálne cenný cieľ, s infekciou pokračujú. Ak nie, v tomto momente sa infekcia končí. Dôsledné vyberanie cieľov hackerom pomáha ostať “pod radarom” bezpečnostných analytikov.
Ako sme už spomenuli, malvér sa šíri prostredníctvom Facebook malvertisingu. Preto buď obzvlášť opatrný, hlavne ak sa na platforme stretneš s reklamami, ktoré ti ponúkajú až príliš výhodné investičné množnosti do krypta alebo lákavú investičnú platformu.
Page updated
Google Sites
Report abuse