في حملة خبيثة معقدة، كشف باحثو الأمن السيبراني عن قيام مجموعة من القراصنة باستغلال إعلانات ممولة على فيسبوك لترويج تطبيقات مزيفة لتداول العملات الرقمية، هدفها نشر برمجية خبيثة تُعرف باسم JSCEAL. هذه البرمجية مبنية باستخدام JavaScript ضمن بيئة V8، وتستهدف سرقة بيانات حساسة مثل كلمات المرور، معلومات المحافظ الرقمية، وبيانات التصفح. ووفقًا لتحليل شركة Check Point، يقوم القراصنة باستخدام آلاف الإعلانات التي تُنشر إما عبر حسابات مخترقة أو حسابات جديدة بهدف استدراج الضحايا نحو مواقع مقلدة.
آلية الهجوم تعتمد على سلسلة معقدة من التحويلات تبدأ عند نقر المستخدم على الإعلان، حيث يُعاد توجيهه إلى صفحات مزيفة تُشبه منصات شهيرة مثل TradingView. هذه الصفحات تحتوي على ملفات JavaScript خبيثة تحاول الاتصال بسيرفر محلي على الجهاز عبر المنفذ 30303، وتراقب عملية التثبيت عبر السكريبتات وترسل طلبات POST إلى مكتبات DLL التي تُثبَّت في خلفية الجهاز. يقوم المُثبِّت بفتح نافذة WebView باستخدام msedge_proxy.exe لعرض الموقع الأصلي للتمويه، في محاولة لخداع الضحية وإخفاء النشاط المشبوه.
في المراحل المتقدمة من الهجوم، تبدأ البرمجية بجمع معلومات النظام وملفات تعريف الارتباط وكلمات المرور المحفوظة وبيانات حساب تيليغرام ولقطات الشاشة ونقرات لوحة المفاتيح. كما تُستخدم كحصان طروادة للوصول عن بُعد، وتقوم بهجمات Adversary-in-the-Middle لاعتراض الجلسات الحساسة، وحقن شيفرات ضارة في المواقع المصرفية ومواقع العملات الرقمية. ما يزيد خطورة الهجوم هو اعتماد القراصنة على تقنيات جديدة لتجاوز أدوات التحليل، منها تنفيذ الموقع الخبيث والمُثبِّت بالتزامن، ما يجعل عملية الرصد صعبة للغاية.
وتمثل هذه الهجمة مثالًا متقدمًا على التطور السريع في تقنيات الهندسة الاجتماعية والهجمات المستهدفة، حيث تُستغل منصات التواصل الاجتماعي كقنوات لنشر برمجيات عالية التعقيد، مع القدرة على التكيف الديناميكي في كل مرحلة من مراحل الإصابة. استخدام ملفات JSC والاعتماد على Node.js يمنح المهاجمين قدرة استثنائية على التخفي والسيطرة الكاملة، مما يدفع بضرورة مراجعة سياسات الإعلان والتحقق من البرمجيات في المنصات الكبرى مثل فيسبوك.
