Les publicités Facebook se transforment en pièges invisibles, capables d’installer un malware redoutable sur votre ordinateur. Derrière ces campagnes, des pirates ingénieux exploitent des faux sites de trading pour voler identifiants et portefeuilles.
Une vaste campagne de piratage utilise des publicités Facebook pour diffuser le malware JSCEAL via de fausses applications. Les cybercriminels redirigent les victimes vers des sites frauduleux, souvent déguisés en plateformes de trading connues.
Les publicités, publiées depuis des comptes volés ou nouvellement créés, parviennent à contourner les systèmes de modération. Selon Check Point, ces publicités permettent d’installer un malware modulaire capable de s’adapter à chaque étape.
Le processus commence par une redirection vers un site imitant des services comme TradingView, selon l’adresse IP. Les hackers divisent JSCEAL en modules et synchronise site malveillant et installeur pour éviter toute détection classique. Ce fonctionnement rend l’analyse technique très difficile pour les chercheurs. « Le site malveillant et l’installeur doivent fonctionner en parallèle pour activer l’infection », précise Check Point.
Espionnee la victime sans éveiller de soupçon
Le fichier téléchargé exécute un serveur local et installe plusieurs DLL pour intercepter les communications en local. En parallèle, l’utilisateur voit s’afficher un site officiel, ce qui réduit toute suspicion.
Les modules collectent des données système, cookies, frappes clavier et comptes Telegram, puis les transfèrent via une porte dérobée PowerShell. Ce fonctionnement permet une surveillance continue de la machine infectée, à l’insu de la victime.
Si la victime semble intéressante, le malware JSCEAL s’exécute entièrement via Node.js pour intercepter le trafic Web. Il injecte alors des scripts dans des sites bancaires ou crypto afin de voler les identifiants en temps réel. Il peut aussi modifier les portefeuilles numériques, collecter les mots de passe et prendre des captures d’écran. Check Point alerte : « La combinaison de code compilé et d’obfuscation rend l’analyse extrêmement chronophage. »
Des publicités de marques populaires comme Ray-Ban Meta
Cette campagne malveillante imite parfois les codes visuels de marques grand public pour crédibiliser ses pièges. Les cybercriminels répliquent les campagnes de publicités Facebook observées autour des ventes Ray-Ban Meta. Pendant que les ventes des Ray-Ban Meta explosent, les hackers détournent cette notoriété pour leurs arnaques.
Les chercheurs en cybersécurité appellent à la prudence face aux publicités Facebook liées au trading ou aux investissements. Même si un site semble familier, il peut s’agir d’une page frauduleuse hébergeant un fichier infecté.
JSCEAL reste extrêmement difficile à supprimer une fois installé et offre un contrôle total à l’attaquant. Pour se protéger, il vaut mieux éviter les applications proposées via publicité et passer par des canaux officiels.
