Uma nova e importante ameaça à segurança cibernética está surgindo, visando especificamente usuários de criptomoedas por meio de malware em aplicativos maliciosos e uma sofisticada campanha publicitária.
Um relatório recente da empresa de segurança cibernética Check Point revelou uma operação global, codinome “JSCEAL”, que já expôs cerca de 10 milhões de pessoas a anúncios fraudulentos que promovem aplicativos de criptomoedas repletos de malware. Esta campanha, ativa desde pelo menos março de 2024, demonstra uma evolução significativa nas táticas de crimes cibernéticos, utilizando mídias sociais e softwares enganosos para roubar dados confidenciais de usuários e fundos de criptomoedas.
O principal método de ataque da campanha é por meio de uma vasta rede de anúncios online. Os autores da ameaça criam anúncios altamente convincentes que se passam por quase 50 plataformas legítimas de negociação de criptomoedas, incluindo nomes conhecidos como Binance, MetaMask e Kraken. Esses anúncios são estrategicamente posicionados em plataformas de mídia social.
A análise das ferramentas de anúncios da Meta revelou que mais de 35.000 anúncios maliciosos foram promovidos somente no primeiro semestre de 2025. Isso levou a milhões de visualizações na União Europeia, e acredita-se que o alcance da campanha se estenda muito além, especialmente em regiões com alto uso de mídias sociais, como a Ásia. A escala dessa operação ressalta os desafios enfrentados por plataformas no policiamento de suas redes de anúncios contra ameaças sofisticadas e em constante mudança.
O que torna o JSCEAL particularmente perigoso é o uso de técnicas avançadas de anti-evasão. De acordo com a pesquisa, o malware emprega “métodos anti-evasão exclusivos” que lhe permitiram operar com taxas de detecção extremamente baixas, permitindo que passasse despercebido por softwares de segurança tradicionais por um longo período. O processo de infecção é multicamadas.
Quando um usuário clica em um anúncio malicioso, ele é redirecionado para um site convincente, porém falso. O usuário é então solicitado a baixar o que acredita ser um aplicativo de criptografia legítimo. Em uma manobra inteligente, o site do invasor e o software de instalação são executados simultaneamente. Essa operação paralela complica significativamente os esforços de detecção para analistas de segurança, pois os componentes maliciosos são difíceis de isolar e analisar por conta própria.
Uma vez instalado, o aplicativo falso abre um programa que parece se conectar ao site real do aplicativo legítimo, criando uma fachada de normalidade para enganar a vítima. No entanto, em segundo plano, um processo está em andamento. O malware, baseado na popular linguagem de programação JavaScript e fortemente ofuscado com código compilado, começa a coletar sistematicamente uma ampla gama de informações confidenciais do usuário. Isso inclui não apenas entradas de teclado, que podem capturar senhas e credenciais de login, mas também informações de contas do Telegram, preenchimento automático de senhas e cookies do navegador. O malware também pode manipular extensões da web relacionadas a criptomoedas, como o MetaMask, fornecendo uma via direta para invasores obterem o controle dos ativos digitais de um usuário.
A crescente prevalência dessas campanhas de malware focadas em criptomoedas destaca uma forte vulnerabilidade no ecossistema de ativos digitais.
Ao contrário do setor bancário tradicional, onde as vítimas de fraude frequentemente têm recursos legais e vias de recuperação, uma pessoa que tem suas criptomoedas roubadas tem opções muito limitadas. A tecnologia blockchain, embora ofereça segurança e descentralização, também fornece uma camada de anonimato para os criminosos, tornando incrivelmente difícil rastrear e processar os responsáveis por esses esquemas. Essa falta de uma rede de segurança torna os usuários de criptomoedas um alvo preferencial e lucrativo para cibercriminosos.
Para combater essas ameaças em evolução, é crucial que indivíduos e plataformas adotem medidas de segurança mais robustas. Para os usuários, uma abordagem multifacetada é essencial. Isso inclui ser extremamente cético em relação a quaisquer anúncios, especialmente aqueles em mídias sociais, que prometem ganhos rápidos ou novos aplicativos de criptomoedas.
