Вредитель JSCEAL обновил инфраструктуру для скрытых атак на криптокошельки

Ранее, в первой половине 2025 года, о JSCEAL сообщали аналитики Check Point Research. Тогда угроза использовала домены C2, названия которых состояли из двух-трех слов, разделенных дефисами, например, "download-app-windows[.]com". Заражение происходило через злонамеренную (malicious) рекламу, которая перенаправляла жертв на поддельные страницы, распространявшие установщики MSI.

Новая волна атак, зафиксированная с 20 августа, демонстрирует серьезную эволюцию. В первую очередь, злоумышленники полностью переработали инфраструктуру C2. Теперь они используют однословные доменные имена без дефисов, такие как "emberstolight[.]com". Кроме того, расширился спектр используемых доменов верхнего уровня (TLD): помимо .com, активно применяются .org, .link, .net и другие. Регистрация таких доменов партиями через регулярные промежутки времени указывает на автоматизированный и масштабируемый процесс.

Каждый новый домен C2 стандартно использует два одинаковых субдомена: ".faro" и ".api". Эта предсказуемая структура, однако, сочетается с усиленными мерами контроля доступа. Обновленная инфраструктура применяет строгую фильтрацию: любой HTTP-запрос, не содержащий в заголовках User-Agent строки PowerShell, немедленно получает в ответ ошибку 404. Это эффективно блокирует доступ через обычные браузеры или многие песочницы (sandbox) для автоматического анализа.

Когда запрос приходит с корректным User-Agent, сервер отвечает не настоящей вредоносной нагрузкой, а поддельным файлом PDF, имитирующим ошибку. Этот файл выполняет роль верификационного слоя. Только после того, как скрипт на стороне жертвы подтверждает получение PDF, он отправляет второй запрос уже на эндпоинт "/script", где и получает оперативную вредоносную нагрузку. Такой многоэтапный подход значительно осложняет автоматический анализ и повышает скрытность цепочки заражения.

Ключевой компонент - обновленный PowerShell-скрипт-загрузчик (loader) - также подвергся серьезной переработке. Во-первых, для создания задачи в Планировщике заданий Windows с целью обеспечения постоянного присутствия (persistence) теперь используется COM-объект вместо прямого упоминания имени задачи. Во-вторых, скрипт был переписан для обработки трех различных типов содержимого полезной нагрузки: сырых байтов, JSON и MIME. В-третьих, если в ранних версиях было множество жестко прописанных доменов, то теперь скрипт ссылается только на один, что делает его более гибким и менее подверженным обнаружению по статическим индикаторам.

Изменения затронули и последующие этапы заражения. Архив "build.zip", который доставляет следующие компоненты вредоноса, теперь содержит измененные имена файлов и типы данных. Это указывает на то, что злоумышленники переработали не только начальный загрузчик, но и структуру последующих стадий.

Эволюция JSCEAL показательна. Угроза не использует громких уязвимостей или эксплойтов. Вместо этого она развивается за счет тихой оптимизации: укрепления C2-инфраструктуры, ужесточения контроля доступа, внедрения многоэтапной доставки полезной нагрузки и переработки кода для устойчивости и скрытности. Операторы маскируются под легитимный трафик и выдают вредоносную нагрузку только после многоуровневой проверки. Ничего кричащего в кампании августа 2025 года нет, но каждое изменение было deliberate. Этот случай напоминает, что даже тихие и методичные угрозы требуют от систем защиты глубокой видимости (visibility) и проактивного контекстного анализа.

Domains

• amberfielder.com
• amberstrail.net
• aurevospace.org
• auroratrails.link
• calmtobridge.com
• cedarspath.com
• cedarwhispers.link
• coralsshore.net
• emberstolight.com
• evercircle.org
• evergreengopath.org
• everlantern.net
• flowhaven.link
• forestsgate.com
• freshstartwalk.org
• goldensecho.link
• goldentrail.name
• ironscove.net
• leafmollytrail.com
• lighttrail.name
• lowskymeadow.com
• lumenivory.com
• lunarapoint.org
• lunasfield.net
• maplehaven.fyi
• mapleonhaven.net
• moonscanyon.org
• nightfallglen.com
• nordexahub.name
• northhollow.net
• novaharbor.net
• opencrest.name
• prismhills.com
• radiantlagoons.com
• ravencliff.org
• rivers.com
• shadowsvale.net
• silversoak.link
• skyinwinters.org
• starhavengo.com
• starsmeadows.net
• stillswaters.link
• sunhorizon.org
• toautumnlake.net
• veloranest.net
• velvetsforest.org
• warmtogrove.net
• whisperhavens.com
• wildflowerpath.org

SHA256

• 2e04eb129d72645e0167e58d404d1c5a258a97b897d61ed4ea05d2a59ab5d897
• 72af070240c149cda4ad6b6ebb581af4285402d1e2d1ae77dbdb8db41cce3828
• 9615f60ea3cc1c65eb8fe6d77bb85fe6b455503193eab02310a873fccadd332e
• f575032cbae83be2488a59d98f7ffd5c876c8e50f11e56e5a3b071456c2ce28f