المخترقون يستخدمون إعلانات فيسبوك لنشر برمجيات خبيثة JSCEAL

تسليط الضوء على حملة مستمرة تقوم بتوزيع تطبيقات تداول العملات المشفرة المزيفة لنشر برمجيات خبيثة مكتوبة بلغة جافا سكريبت (JSC) تدعى JSCEAL.

المخترقون يستخدمون إعلانات فيسبوك لنشر برمجيات خبيثة JSCEAL عبر تطبيقات تداول العملات المشفرة المزيفة

تسليط الضوء على حملة مستمرة تقوم بتوزيع تطبيقات تداول العملات المشفرة المزيفة لنشر برمجيات خبيثة مكتوبة بلغة جافا سكريبت (JSC) تدعى JSCEAL، والتي يمكن أن تلتقط بيانات الاعتماد والمحافظ.

تستغل هذه الأنشطة الآلاف من الإعلانات الخبيثة المنشورة على فيسبوك في محاولة لتوجيه الضحايا غير المدركين إلى مواقع مزيفة تطلب منهم تثبيت التطبيقات الوهمية، وفقًا لشركة Check Point. يتم مشاركة هذه الإعلانات إما عبر حسابات مسروقة أو حسابات جديدة تم إنشاؤها.

آلية الهجوم

“يفصل المهاجمون وظيفة المثبت إلى مكونات مختلفة وينقلون بعض الوظائف بشكل ملحوظ إلى ملفات جافا سكريبت داخل المواقع المصابة،” قالت الشركة في تحليلها. “تسمح آلية العدوى متعددة الطبقات والمودولارية للمهاجمين بتكييف أساليب جديدة وحمولات في كل مرحلة من العملية.”

من الجدير بالذكر أن بعض جوانب هذه الأنشطة تم توثيقها سابقًا من قبل مايكروسوفت في أبريل 2025 وWithSecure في وقت لاحق، حيث تتبع الأخيرة الحملة تحت اسم WEEVILPROXY. وفقًا لمزود الأمن الفنلندي، كانت الحملة نشطة منذ مارس 2024.

تم العثور على سلاسل الهجوم تتبنى آليات جديدة لمكافحة التحليل تعتمد على بصمات الأصابع المستندة إلى النصوص، قبل تسليم الحمولة النهائية من JSC.

“نفذ المهاجمون آلية فريدة تتطلب تشغيل كل من الموقع الخبيث والمثبت بالتوازي من أجل التنفيذ الناجح، مما يعقد جهود التحليل والاكتشاف بشكل كبير،” أضافت الشركة الإسرائيلية.

التوجيه إلى المواقع المزيفة

يؤدي النقر على الرابط في إعلانات فيسبوك إلى سلسلة من التوجيهات، مما يؤدي في النهاية إلى صفحة هبوط مزيفة تحاكي خدمة شرعية مثل TradingView أو موقع وهمي، إذا لم يكن عنوان IP الخاص بالهدف ضمن النطاق المطلوب أو إذا لم يكن المحيل هو فيسبوك.

تتضمن الصفحة أيضًا ملف جافا سكريبت يحاول الاتصال بخادم localhost على المنفذ 30303، بالإضافة إلى استضافة اثنين من سكريبتات جافا سكريبت الأخرى المسؤولة عن تتبع عملية التثبيت وبدء طلبات POST التي تتم معالجتها بواسطة المكونات داخل المثبت MSI.

من جهته، يقوم ملف المثبت الذي تم تنزيله من الموقع بفك ضغط عدد من مكتبات DLL، بينما يقوم في نفس الوقت ببدء مستمعات HTTP على localhost:30303 لمعالجة طلبات POST الواردة من الموقع الوهمي. تعني هذه الاعتمادية أيضًا أن سلسلة العدوى تفشل في التقدم إذا لم تعمل أي من هذه المكونات.

تنفيذ البرمجيات الخبيثة

“لضمان عدم اشتباه الضحية في نشاط غير طبيعي، يقوم المثبت بفتح واجهة ويب باستخدام msedge_proxy.exe لتوجيه الضحية إلى الموقع الشرعي للتطبيق،” قالت Check Point.

تم تصميم وحدات DLL لتحليل طلبات POST من الموقع وجمع معلومات النظام وبدء عملية بصمات الأصابع، وبعد ذلك يتم تسريب المعلومات الملتقطة إلى المهاجم في شكل ملف JSON عبر باب خلفي باستخدام PowerShell.

إذا تم اعتبار المضيف الضحية ذا قيمة، تنتقل سلسلة العدوى إلى المرحلة النهائية، مما يؤدي إلى تنفيذ برمجيات JSCEAL الخبيثة باستخدام Node.js.

تقوم البرمجيات الخبيثة، بالإضافة إلى إنشاء اتصالات مع خادم بعيد لتلقي تعليمات إضافية، بإنشاء وكيل محلي بهدف اعتراض حركة مرور الويب الخاصة بالضحية وحقن سكريبتات خبيثة في المواقع الحساسة مثل المصارف والعملات المشفرة لسرقة بيانات الاعتماد في الوقت الحقيقي.

تشمل الوظائف الأخرى لـ JSCEAL جمع معلومات النظام، وملفات تعريف الارتباط الخاصة بالمتصفح، وكلمات المرور المخزنة، وبيانات حساب Telegram، لقطات الشاشة، ضغطات المفاتيح، بالإضافة إلى تنفيذ هجمات adversary-in-the-middle (AitM) والتلاعب بمحافظ العملات المشفرة. يمكن أن تعمل أيضًا كحصان طروادة للوصول عن بُعد.

“تم تصميم هذه البرمجيات الخبيثة المتطورة للسيطرة الكاملة على جهاز الضحية، بينما تكون مقاومة للأدوات الأمنية التقليدية،” قالت Check Point. “يجعل الجمع بين الشيفرة المجمعة والتعتيم الثقيل، مع عرض مجموعة واسعة من الوظائف، جهود التحليل صعبة وتستغرق وقتًا طويلاً.”

“يسمح استخدام ملفات JSC للمهاجمين بإخفاء شيفرتهم ببساطة وفعالية، مما يساعدها على التهرب من آليات الأمان، ويجعل من الصعب تحليلها.”

تظهر هذه الحملة كيف يمكن للمهاجمين استخدام تقنيات متقدمة لإخفاء أنشطتهم، مما يجعل من الضروري أن يكون المستخدمون أكثر وعيًا حول التطبيقات التي يقومون بتثبيتها.