Криптопользователей предупреждают об опасности вредоносных криптоприложений в рекламе

Более 10 миллионов человек потенциально стали жертвами вредоносной кампании, направленной на кражу криптовалюты и учетных данных

По оценкам, около 10 миллионов человек по всему миру подверглись воздействию онлайн-рекламы, продвигающей поддельные криптовалютные приложения с вредоносным ПО, предупреждает компания Check Point, занимающаяся кибербезопасностью.

Check Point Research сообщила во вторник, что отслеживала вредоносную кампанию под названием «JSCEAL», направленную на пользователей криптовалюты путем подражания популярным приложениям для торговли криптовалютой.

Кампания ведется как минимум с марта 2024 года и «постепенно развивалась с течением времени», добавила компания. Она использует рекламу, чтобы обманом заставить жертв установить поддельные приложения, которые «имитируют почти 50 распространенных приложений для торговли криптовалютой», включая Binance, MetaMask и Kraken.

Пользователи криптовалют являются ключевой целью различных вредоносных кампаний, поскольку жертвы кражи криптовалюты имеют мало возможностей для возмещения своих средств, а блокчейны анонимизируют злоумышленников, что затрудняет выявление тех, кто стоит за этими схемами.

Check Point сообщила, что рекламные инструменты Meta показали, что в первой половине 2025 года было продвинуто 35 000 вредоносных рекламных объявлений, что привело к «нескольким миллионам просмотров только в ЕС».

Компания оценила, что по меньшей мере 3,5 миллиона человек были подвержены рекламным кампаниям в ЕС, но они также «выдавали себя за азиатские криптовалютные и финансовые учреждения» — регионы с сопоставимо более высоким числом пользователей социальных сетей.

Компания отметила, что, как правило, невозможно определить полный масштаб кампании по распространению вредоносного ПО и что Охват рекламы «не равен количеству жертв».

Последнее воплощение вредоносной кампании использует «уникальные методы обхода защиты», что привело к «крайне низкому уровню обнаружения» и позволило ей оставаться незамеченной в течение столь долгого времени, сообщает Check Point.

Жертвы, которые нажимают на вредоносную рекламу, перенаправляются на сайт, выглядящий как легальный, но являющийся поддельным, для загрузки вредоносного ПО, а веб-сайт злоумышленника и программное обеспечение для установки работают одновременно, что, по словам Check Point, «значительно усложняет анализ и обнаружение», поскольку их трудно обнаружить по отдельности.

Поддельное приложение открывает программу, которая перенаправляет жертву на законный сайт приложения, которое, как она полагает, она скачала, чтобы обмануть ее, но в фоновом режиме оно собирает «конфиденциальную информацию о пользователе, в первую очередь связанную с криптовалютой».

Вредоносное ПО использует популярный язык программирования JavaScript, который не требует ввода данных жертвой для запуска. Check Point заявила, что «сочетание скомпилированного кода и сильной обфускации» сделало ее попытки проанализировать вредоносное ПО «сложными и трудоемкими».

Check Point заявила, что основная цель вредоносного ПО — собрать как можно больше информации о зараженном устройстве, чтобы отправить ее злоумышленнику для использования.

Часть информации, которую собирали программы, представляла собой ввод с клавиатуры пользователя, который может раскрыть пароли, а также кража информации об учетной записи Telegram и паролей автозаполнения.

Вредоносное ПО также собирает файлы cookie браузера, которые могут показать, какие веб-сайты жертва посещает часто, и может манипулировать веб-расширения, связанные с криптовалютами, такие как MetaMask.

В нем говорится, что антивирусное программное обеспечение, которое обнаруживает выполнение вредоносного JavaScript, будет «очень эффективным» средством для предотвращения атаки на уже зараженное устройство.

Еженедельный набор инструментов, который анализирует последние события в сфере DeFi, предлагает точный анализ и раскрывает новые финансовые возможности, чтобы помочь вам с уверенностью принимать разумные решения. Доставляется каждую пятницу.