Хакеры развернули масштабную киберкампанию, используя тысячи вредоносных рекламных объявлений в социальной сети Ф⃰. Объявления, размещаемые с украденных или недавно созданных аккаунтов, заманивают пользователей обещаниями доступа к поддельным приложениям для торговли криптовалютой. Конечная цель этой схемы — установка многоступенчатого зловреда JSCEAL, предназначенного для кражи конфиденциальных данных и получения полного контроля над компьютером жертвы.
Активность кампании, названной финской компанией по кибербезопасности WithSecure как WEEVILPROXY, отслеживается с марта 2024 года. Детальный анализ угрозы был представлен израильской компанией Check Point. Ранее отдельные аспекты этой деятельности также документировались компанией Microsoft в апреле 2025 года и специалистами из WithSecure в текущем месяце.
Цепочка заражения начинается с клика пользователя по вредоносной рекламе в Ф⃰. После этого жертва перенаправляется на поддельную целевую страницу, которая имитирует легитимные сервисы, например, платформу для технического анализа TradingView. Система атаки включает механизм фильтрации: если IP-адрес цели не входит в интересующий злоумышленников диапазон или если переход на сайт был выполнен не из Ф⃰, пользователь перенаправляется на безопасный ресурс-приманку.
Ключевой элемент атаки заключается в том, что вредоносный сайт и загруженный с него установщик в формате MSI должны работать одновременно. Установщик запускает на компьютере жертвы локальный сервер, который прослушивает входящие HTTP-соединения на порту 30303. Параллельно с этим, JavaScript-код на открытой в браузере вредоносной странице отправляет POST-запросы на этот локальный сервер.
Чтобы скрыть свои действия и усыпить бдительность пользователя, установщик запускает процесс
Собранная системная информация упаковывается в файл формата JSON и отправляется на сервер злоумышленников с помощью бэкдора, реализованного на PowerShell. Дальнейшие действия зависят от ценности цели. Если на основе полученных данных злоумышленники считают жертву «перспективной», они инициируют развертывание финальной полезной нагрузки.
Основным оружием кампании является зловред JSCEAL, который выполняется с использованием Node.js. Это сложное вредоносное ПО, написанное на скомпилированном V8 JavaScript (JSC). Использование скомпилированного кода и техник тяжелой обфускации значительно затрудняет его обнаружение средствами защиты и анализ специалистами по безопасности.
JSCEAL функционирует как троян удаленного доступа (Remote Access Trojan, RAT). После установки он устанавливает соединение с командным сервером для получения инструкций. Одной из его главных функций является создание локального прокси для перехвата всего веб-трафика жертвы, что позволяет проводить атаки типа «человек посередине» (Adversary-in-the-Middle, AitM).
Благодаря перехвату трафика, зловред способен в реальном времени внедрять вредоносные скрипты на страницы банковских сайтов, криптобирж и других ресурсов, где пользователь вводит конфиденциальные данные. Это позволяет ему красть учетные данные, файлы cookie браузера и пароли из автозаполнения.
Список возможностей JSCEAL включает кражу данных сессии мессенджера Telegram, создание скриншотов рабочего стола и запись нажатий клавиш (кейлоггинг). Кроме того, зловред собирает общую информацию о системе и способен манипулировать данными криптовалютных кошельков.
В конечном счете, JSCEAL предоставляет злоумышленникам полный удаленный доступ к зараженной машине, позволяя им контролировать все действия пользователя и управлять операционной системой.
Изображение носит иллюстративный характер
Активность кампании, названной финской компанией по кибербезопасности WithSecure как WEEVILPROXY, отслеживается с марта 2024 года. Детальный анализ угрозы был представлен израильской компанией Check Point. Ранее отдельные аспекты этой деятельности также документировались компанией Microsoft в апреле 2025 года и специалистами из WithSecure в текущем месяце.
Цепочка заражения начинается с клика пользователя по вредоносной рекламе в Ф⃰. После этого жертва перенаправляется на поддельную целевую страницу, которая имитирует легитимные сервисы, например, платформу для технического анализа TradingView. Система атаки включает механизм фильтрации: если IP-адрес цели не входит в интересующий злоумышленников диапазон или если переход на сайт был выполнен не из Ф⃰, пользователь перенаправляется на безопасный ресурс-приманку.
Ключевой элемент атаки заключается в том, что вредоносный сайт и загруженный с него установщик в формате MSI должны работать одновременно. Установщик запускает на компьютере жертвы локальный сервер, который прослушивает входящие HTTP-соединения на порту 30303. Параллельно с этим, JavaScript-код на открытой в браузере вредоносной странице отправляет POST-запросы на этот локальный сервер.
Чтобы скрыть свои действия и усыпить бдительность пользователя, установщик запускает процесс
msedge_proxy.exe, который открывает в отдельном окне легитимный сайт приложения, под которое маскируется зловред. В это время распакованные установщиком библиотеки DLL обрабатывают POST-запросы от веб-страницы, собирают подробную информацию о системе и проводят «фингерпринтинг» — оценку машины жертвы. Собранная системная информация упаковывается в файл формата JSON и отправляется на сервер злоумышленников с помощью бэкдора, реализованного на PowerShell. Дальнейшие действия зависят от ценности цели. Если на основе полученных данных злоумышленники считают жертву «перспективной», они инициируют развертывание финальной полезной нагрузки.
Основным оружием кампании является зловред JSCEAL, который выполняется с использованием Node.js. Это сложное вредоносное ПО, написанное на скомпилированном V8 JavaScript (JSC). Использование скомпилированного кода и техник тяжелой обфускации значительно затрудняет его обнаружение средствами защиты и анализ специалистами по безопасности.
JSCEAL функционирует как троян удаленного доступа (Remote Access Trojan, RAT). После установки он устанавливает соединение с командным сервером для получения инструкций. Одной из его главных функций является создание локального прокси для перехвата всего веб-трафика жертвы, что позволяет проводить атаки типа «человек посередине» (Adversary-in-the-Middle, AitM).
Благодаря перехвату трафика, зловред способен в реальном времени внедрять вредоносные скрипты на страницы банковских сайтов, криптобирж и других ресурсов, где пользователь вводит конфиденциальные данные. Это позволяет ему красть учетные данные, файлы cookie браузера и пароли из автозаполнения.
Список возможностей JSCEAL включает кражу данных сессии мессенджера Telegram, создание скриншотов рабочего стола и запись нажатий клавиш (кейлоггинг). Кроме того, зловред собирает общую информацию о системе и способен манипулировать данными криптовалютных кошельков.
В конечном счете, JSCEAL предоставляет злоумышленникам полный удаленный доступ к зараженной машине, позволяя им контролировать все действия пользователя и управлять операционной системой.
