Νέο κακόβουλο λογισμικό JSCEAL Infostealer που επιτίθεται σε συστήματα Windows για να κλέψει τα διαπιστευτήρια σύνδεσης

Το JSCEAL έχει αναδειχθεί ως σοβαρή απειλή για τους χρήστες των Windows, στοχεύοντας συγκεκριμένα όσους εργάζονται με εφαρμογές κρυπτονομισμάτων και πολύτιμους λογαριασμούς.

Αναφέρθηκε για πρώτη φορά από την Check Point Research τον Ιούλιο του 2025, αυτή η πληροφορία που κλέβει κακόβουλο λογισμικό έχει γίνει αθόρυβα ισχυρότερη, εισάγοντας προηγμένες τεχνικές σχεδιασμένες να αποφεύγουν τον εντοπισμό από εργαλεία ασφαλείας.

Ένα νέο κύμα επιθέσεων που ξεκινά τον Αύγουστο του 2025 δείχνει ότι η απειλή έχει γίνει πιο επικίνδυνη, με βελτιωμένα συστήματα διοίκησης και ελέγχου και πιο έξυπνους τρόπους απόκρυψης των δραστηριοτήτων της.

Το κακόβουλο λογισμικό εξαπλώνεται μέσω παραπλανητικών διαδικτυακών διαφημίσεων που εξαπατούν τους χρήστες να επισκεφτούν ψεύτικους ιστότοπους. Μόλις ένας χρήστης προσγειωθεί σε αυτές τις δημιουργημένες σελίδες, κατεβάζει εν αγνοία του κακόβουλα προγράμματα εγκατάστασης συσκευασμένα ως νόμιμα προγράμματα.

Αυτά τα προγράμματα εγκατάστασης παραδίδουν το JSCEAL σε μηχανήματα Windows, όπου το κακόβουλο λογισμικό αρχίζει να συλλέγει ευαίσθητες πληροφορίες όπως κωδικούς πρόσβασης, ονόματα χρήστη και δεδομένα προγράμματος περιήγησης.

Η ροή μόλυνσης αντιπροσωπεύει μια απλή αλλά αποτελεσματική προσέγγιση που συνεχίζει να αιχμαλωτίζει τις ομάδες ασφαλείας.

Αναλυτές της CATO Networks αναγνωρισθείς ότι η JSCEAL όχι μόνο επέζησε αλλά μετατράπηκε σε μια πιο εξελιγμένη απειλή.

Οι χειριστές πίσω από το κακόβουλο λογισμικό επανασχεδίασαν πλήρως την υποδομή τους ξεκινώντας από τις 20 Αυγούστου 2025, μεταβαίνοντας από αναγνωρίσιμα ονόματα τομέα πολλών λέξεων σε τομείς μιας λέξης όπως το emberstolight.com.

Αυτή η μετατόπιση καθιστά δυσκολότερο τον εντοπισμό και τον αποκλεισμό της κακόβουλης υποδομής χρησιμοποιώντας παραδοσιακές μεθόδους.

Προηγμένες τεχνικές αποφυγής ανίχνευσης

Το κακόβουλο λογισμικό χρησιμοποιεί τώρα πολλά έξυπνα κόλπα για να αποφύγει τον εντοπισμό. Όταν τα εργαλεία ασφαλείας ή οι αναλυτές προσπαθούν να αποκτήσουν πρόσβαση στους διακομιστές εντολών και ελέγχου, το σύστημα απαιτεί έναν συγκεκριμένο παράγοντα χρήστη PowerShell για να προχωρήσει.

Τα αιτήματα από τα κανονικά προγράμματα περιήγησης λαμβάνουν ψεύτικα μηνύματα σφάλματος σχεδιασμένα να μοιάζουν με κατεστραμμένα αρχεία PDF, δημιουργώντας ένα επιπλέον επίπεδο σύγχυσης.

Μόνο τα συστήματα που περνούν αυτούς τους ελέγχους λαμβάνουν το πραγματικό κακόβουλο ωφέλιμο φορτίο, καθιστώντας τη διαδικασία μόλυνσης πολύ περιορισμένη και δύσκολη στην ανάλυση.

Αυτή η προσέγγιση πολλαπλών σταδίων αναγκάζει το σενάριο να επαληθεύσει ότι ένα PDF έχει επιστραφεί πριν προχωρήσει στο τελικό σημείο του σεναρίου, όπου παραδίδεται το λειτουργικό ωφέλιμο φορτίο, περιπλέκοντας σημαντικά τις προσπάθειες αυτοματοποιημένης ανάλυσης.

Μια σημαντική τεχνική πρόοδος περιλαμβάνει το ανακατασκευασμένο σενάριο PowerShell, το οποίο χρησιμοποιεί πλέον το Windows Scheduler μέσω αντικειμένων COM αντί να δημιουργεί απευθείας προγραμματισμένες εργασίες.

Αυτή η αλλαγή καθιστά σχεδόν αδύνατη τη λήψη δακτυλικών αποτυπωμάτων του κακόβουλου λογισμικού από απλούς δείκτες κώδικα. Το νέο σύστημα παράδοσης ωφέλιμου φορτίου υποστηρίζει επίσης πολλαπλές μορφές δεδομένων, συμπεριλαμβανομένων των raw byte, JSON και MIME, προσφέροντας στους χειριστές μεγαλύτερη ευελιξία στις επιθέσεις τους.

Η απειλή παραμένει ενεργή και εξελίσσεται. Οι οργανισμοί θα πρέπει να εφαρμόζουν αυστηρά μέτρα ασφαλείας, συμπεριλαμβανομένου του αποκλεισμού ύποπτης δραστηριότητας του PowerShell, της παρακολούθησης για ασυνήθιστες επικοινωνίες εντολών και ελέγχου και της εκπαίδευσης των χρηστών σχετικά με κακόβουλες διαφημίσεις.

Οι ομάδες ασφαλείας πρέπει να παραμείνουν σε επαγρύπνηση έναντι κλεφτών πληροφοριών όπως το JSCEAL, οι οποίοι πετυχαίνουν όχι μέσω δραματικών εκμεταλλεύσεων, αλλά μέσω προσεκτικού, σκόπιμου σχεδιασμού και συνεχούς βελτίωσης των δυνατοτήτων stealth.