Siber güvenlik araştırmacıları, Derlenmiş Bir V8 JavaScript (JSC) kötü amaçlı yazılımını dağıtmak için sahte kripto para ticaret uygulamalarını dağıtan devam eden bir kampanyaya dikkat çekiyorlar. Sen kimlik bilgilerinden ve cüzdanlardan veri yakalayabilir.
Etkinlik, Check Point’e göre, şüphesiz kurbanları sahte uygulamaları yüklemelerini söyleyen sahte sitelere yönlendirmek amacıyla Facebook’ta yayınlanan binlerce kötü amaçlı reklamdan yararlanıyor. Bu reklamlar çalınan hesaplar veya yeni oluşturulan hesaplar aracılığıyla paylaşılır.
Şirket, “Aktörler yükleyicinin işlevselliğini farklı bileşenlere ayırıyor ve en önemlisi bazı işlevleri enfekte olmuş web siteleri içindeki JavaScript dosyalarına taşıyor.” Dedi. “Modüler, çok katmanlı bir enfeksiyon akışı, saldırganların operasyonun her aşamasında yeni taktikleri ve yükleri uyarlamalarını sağlar.”
Etkinliğin bazı yönlerinin daha önce Nisan 2025’te Microsoft tarafından belgelendiğini ve bu aya kadar güvence altına alındığını ve ikincisinin WeVilproxy olarak izlediğini belirtmek gerekir. Finlandiya güvenlik satıcısına göre, kampanya Mart 2024’ten beri aktif.
Saldırı zincirlerinin, son JSC yükünü vermeden önce senaryo tabanlı parmak izine dayanan yeni anti-analiz mekanizmalarını benimsediği bulunmuştur.
İsrail siber güvenlik şirketi, “Tehdit aktörleri, hem kötü amaçlı sitenin hem de kurulumcunun başarılı bir şekilde yürütme için paralel çalışmasını gerektiren benzersiz bir mekanizma uyguladığını ve bu da analiz ve algılama çabalarını önemli ölçüde karmaşıklaştırdığını söyledi.”
Facebook reklamlarındaki bağlantıyı tıklamak, hedefin IP adresi istenen bir aralıkta değilse veya yönlendirici Facebook değilse, kurbanı TradingView veya bir tuzak web sitesi gibi meşru bir hizmeti taklit eden sahte bir açılış sayfasına götürür.
Web sitesi ayrıca, kurulum sürecini izlemekten ve MSI yükleyicisi içindeki bileşenler tarafından işlenen yayın isteklerini başlatmaktan sorumlu olan iki JavaScript komut dosyasını barındırmanın yanı sıra, 30303 numaralı bağlantı noktasında bir LocalHost sunucusu ile iletişim kurmaya çalışan bir JavaScript dosyası içerir.
Kendi adına, siteden indirilen yükleyici dosyası, aynı anda HTTP dinleyicilerini LocalHost: 30303’te HTTP dinleyicilerini, sahte siteden gelen talepleri işlemek için bir dizi DLL kütüphanesini açar. Bu bağımlılık aynı zamanda enfeksiyon zincirinin bu bileşenlerden herhangi birinin işe yaramadığı takdirde ilerleyemediği anlamına gelir.
Check Point, “Kurbanın anormal faaliyetten şüphelenmemesini sağlamak için, yükleyici kurbanı uygulamanın meşru web sitesine yönlendirmek için msedge_proxy.exe kullanarak bir web görünümü açar.” Dedi.
DLL modülleri, Web Sitesinden yayınlanan talepleri ayrıştırmak ve sistem bilgilerini toplamak ve parmak izi sürecini başlatmak için tasarlanmıştır, bundan sonra yakalanan bilgiler bir PowerShell arka kapısı aracılığıyla bir JSON dosyası şeklinde saldırgana açıklanır.
Mağdur ev sahibi değerli görülürse, enfeksiyon zinciri son aşamaya geçer ve node.js.
Kötü amaçlı yazılım, daha fazla talimat almak için uzak bir sunucu ile bağlantı kurmanın yanı sıra, kurbanın web trafiğini ele geçirmek ve kimlik bilgilerini gerçek zamanlı olarak çalmak için bankacılık, kripto para birimi ve diğer hassas web sitelerine kötü amaçlı komut dosyaları enjekte etmek amacıyla yerel bir proxy oluşturur.
JScoal’ın diğer işlevleri arasında sistem bilgileri, tarayıcı çerezleri, otomatik doldurma şifreleri, telgraf hesap verileri, ekran görüntüleri, tuş vuruşları ve ortada düşman (AITM) saldırıları ve kripto para cüzdanları manipüle etme yer alır. Ayrıca uzaktan erişim Truva atı olarak da hareket edebilir.
Check Point, “Bu sofistike kötü amaçlı yazılım parçası, geleneksel güvenlik araçlarına karşı dirençli olurken, kurban makinesinin mutlak kontrolünü kazanmak için tasarlanmıştır.” Dedi. “Derlenmiş kod ve ağır şaşkınlık kombinasyonu, çok çeşitli işlevsellik gösterirken, analiz çabalarını zorlaştırdı ve zaman alıcı hale getirdi.”
“JSC dosyalarını kullanmak, saldırganların kodlarını basit ve etkili bir şekilde gizlemelerine, güvenlik mekanizmalarından kaçmasına yardımcı olmasına ve analiz etmeyi zorlaştırmasına olanak tanır.”