A Check Point Software identificou uma sofisticada campanha maliciosa chamada JSCEAL, que representa uma séria ameaça aos usuários de aplicativos de criptomoedas. De acordo com o estudo, a campanha se baseia em anúncios fraudulentos e instaladores falsos para distribuir um malware projetado especificamente para roubar credenciais, carteiras digitais e outros dados sensíveis relacionados ao ecossistema cripto.
Ataques direcionados por meio de publicidade maliciosa
Desde março de 2024, o JSCEAL tem se concentrado em se passar por aplicativos de troca de criptomoedas amplamente reconhecidos. Os pesquisadores explicaram que para isso, os cibercriminosos utilizam anúncios pagos em redes sociais, que redirecionam as vítimas a páginas falsas, onde são induzidas a baixar instaladores maliciosos no formato MSI (Microsoft Software Installer).
Segundo a pesquisa, o alcance da campanha JSCEAL foi extenso, especialmente na União Europeia, onde cerca de 35 mil anúncios maliciosos foram veiculados entre janeiro e junho de 2025. A campanha já alcançou uma audiência estimada em 3,5 milhões de usuários — número que pode ultrapassar os 10 milhões globalmente.
Uma cadeia de infecção em múltiplas camadas
A infecção ocorre em três fases, a primeira é a implantação inicial, na qual o usuário acessa um anúncio falso que simula pertencer a uma plataforma financeira legítima. Ao clicar, é redirecionado por várias camadas até chegar a uma página de download fraudulenta. A segunda é a execução de scripts de perfilamento, que instala o arquivo MSI, um conjunto de scripts é ativado para coletar informações críticas do sistema (configurações, softwares instalados, dados do dispositivo). Esses scripts, executados via PowerShell, exfiltram os dados necessários para preparar o terreno para a próxima etapa.
Além disso há a terceira fase da carga útil final em JSC. Segundo os especialistas, é introduzido o malware JSCEAL, desenvolvido com arquivos JavaScript compilados (JSC) e executado por meio do Node[.]js . Essa combinação permite contornar com eficiência as soluções de segurança convencionais. O objetivo: acessar credenciais de login, dados de autenticação e carteiras de criptomoedas.
Técnica avançada e estrutura modular
A pesquisa mostrou que um dos aspectos mais preocupantes do JSCEAL é o uso de arquivos JavaScript compilados com o mecanismo V8 do Google. Essa técnica, até então pouco comum em campanhas maliciosas, permite ao malware se manter oculto diante das soluções tradicionais de segurança e de análises estáticas. Além disso, sua arquitetura modular permite que os atacantes modifiquem e atualizem as cargas úteis com facilidade, adaptando-se a novos ambientes e contornando as defesas existentes.
Ameaça crescente no cenário global
Os especialistas afirmaram que múltiplas variantes do JSCEAL continuam operando sem serem detectadas por diversas ferramentas de segurança disponíveis no mercado. Essa persistência, aliada à sua complexidade técnica, torna o JSCEAL uma ameaça de alto nível para os usuários de ativos digitais.
Para mitigar o impacto de campanhas como o JSCEAL, a Check Point Software recomenda o uso de soluções avançadas como o Threat Emulation e o Harmony Endpoint, capazes de detectar e bloquear tanto esse tipo de ameaça quanto suas possíveis evoluções.
