Opgelet: geavanceerde malware verspreidt zich via Facebook-advertenties
Om de malware, die door het leven gaat als JSCEAL, te verspreiden maken cybercriminelen gebruik van gestolen of compleet nieuwe Facebook-profielen, waarmee ze dan duizenden advertenties lanceren. De advertenties draaien meestal rond crypto en lokken slachtoffers met een aantrekkelijk aanbod van een nieuw cryptoplatform. De malware is moeilijk te detecteren omdat alles erg legitiem oogt en de aanval in verschillende ingewikkelde stappen uitgevoerd wordt, waardoor de malware onder de radar kan blijven.
Malware misleidt gebruikers én anti-virusbeveiliging
De aanval begint natuurlijk bij een Facebook-advertentie waar iemand op klikt. Het slachtoffer wordt dan naar een valse landingspagina gestuurd die lijkt op de website van een legitiem platform als TradingView, een populaire tool voor de analyse van grafieken van aandelen en cryptomunten. Daar wordt dan een installatiebestand aangeboden dat de malware op de computer zal installeren.
Wat de malware zo geavanceerd maakt, is het feit dat de infectie pas begint wanneer de malafide website én het installatiebestand samen, tegelijk, actief zijn. Dat zorgt ervoor dat veel antivirusprogramma’s het bestand op zich in eerste instantie niet als verdacht zullen bestempelen. Ook op andere momenten tijdens de aanval wordt de malware goed verborgen gehouden, onder meer door soms ook écht legitieme websites te tonen, wat vertrouwen wekt.
Logingegevens worden gestolen, overschrijvingen gekaapt
Het doel van de malware is om je systeem te infecteren en aan de haal te gaan met allerlei data. In eerste instantie wordt er gezocht naar gevoelige informatie die op de computer zelf bewaard staat, maar vervolgens wordt ook malafide software geactiveerd waarmee aanvallers kunnen zien wat je precies typt. Op die manier kunnen bijvoorbeeld logingegevens buitgemaakt worden.
De aanvallers kunnen ook screenshots maken en websites van bijvoorbeeld banken infecteren om zo overschrijvingen om te leiden zonder dat het slachtoffer er iets van merkt. Omdat de malware zonder veel problemen geïnstalleerd geraakt op een computer, kan het hele systeem dus relatief makkelijk overgenomen worden, met alle gevolgen van dien.
Stroomversnelling via Facebook
Voor de JSCEAL-dreiging wordt nu gewaarschuwd door cybersecuritybedrijf Check Point, maar in april al wees Microsoft op een vroege variant ervan. Ook bij WithSecure wordt deze operatie al een tijdje gevolgd onder de naam WEEVILPROXY. Volgens hun data is JSCEAL al minstens sinds maart 2024 actief. Toen werden slachtoffers echter vooral via e-mail aangevallen. Pas recenter zouden de cybercriminelen zijn overgeschakeld naar Facebook-advertenties, waar meer mazen in het net zitten om door te glippen en waarmee dus meteen een veel breder publiek in het vizier genomen kan worden.
Zoals zo vaak geldt ook hier dat voorkomen beter is dan genezen. Je gezond verstand gebruiken blijft dan ook de boodschap. Apps installeer je best via de officiële app stores of websites, niet nadat je op een Facebook-advertentie hebt geklikt.
