Foto: Max Acronym/ Shutterstock
Check Point Research hat am 29. Juli 2025 einen Bericht über ein neues Virus veröffentlicht, das gezielt auf Kryptonutzer abzielt.
Welches Virus ist gemeint und worauf sollte man achten?
Funktionsweise des Virus
Das Virus mit dem Namen JSCEAL wurde durch ein Analysetool für kompilierte JavaScript-Dateien (JSC) entdeckt. Es ist bereits seit März 2024 aktiv und hat rund 10 Millionen Nutzer infiziert.
Im Rahmen einer Werbekampagne wurden bekannte Krypto-Handelsapps nachgeahmt. Seitdem wurde das Virus weiterentwickelt.
Die neueste Version deaktiviert Analyse-Tools auf dem Rechner, indem Programme heruntergeladen werden, die gezielt dafür sorgen. Gefälschte Webseiten zeigen irreführende Werbung, die beim Anklicken das Virus installiert. Anschließend wird ein Skript ausgeführt, das die eigentliche JSC-Bedrohung aktiviert.
Da zwischen Infektion und Ausführung Zeit vergeht, bleibt die Infektion oft unentdeckt. Viele der Methoden sind bereits aus der WeevilProxy-Malwarekampagne bekannt.
JSCEAL hat bereits in großem Ausmaß Infektionen verursacht und gilt als technisch ausgeklügelt. Die Werbekampagne erzielte Millionen von Aufrufen.
Drei Phasen des Krypto-Virus
Die aktuelle Version des Virus arbeitet in drei Phasen. Zunächst erfolgt der erste Angriff, danach ein Skript für das Nutzerprofil, gefolgt von der finalen JSC-Nutzlast, die den eigentlichen Schaden verursacht. Die ersten beiden Phasen werden kontinuierlich weiterentwickelt.
In der ersten Phase werden gezielte Werbeanzeigen angezeigt, die den Nutzer dazu verleiten, einen schädlichen Installer von einer Angreifer-Webseite herunterzuladen. Die Werbung erscheint über Social-Media-Plattformen mithilfe bezahlter Anzeigen sowie gestohlener oder neuer Accounts und imitiert bekannte Marken aus der Kryptobranche.
Basierend auf der IP-Adresse wird man auf eine gefährliche Fake-Website oder eine harmlose Ablenkungsseite weitergeleitet.
Befindet man sich im Zielprofil der Angreifer, erscheint eine Seite, die exakt wie die Apps großer Anbieter aussieht, z. B. von TradingView, Kraken, Binance oder MetaMask. Wird dort auf „Download“ geklickt, wird eine MSI-Datei heruntergeladen – und das System ist infiziert.
Ab diesem Moment ist die eigene Kryptowährung gefährdet. Teilweise wird auch die echte Webseite, z. B. von TradingView, angezeigt, um Misstrauen zu vermeiden.
Was passiert nach der Infektion?
Zuerst prüfen die Angreifer, ob das Opfer interessant ist – durch die Analyse des gesamten Systems: E-Mails, installierte Software, Cookies usw. Das Virus enthält auch Keylogger, die Tastatureingaben aufzeichnen, um an Passwörter zu gelangen.
Beste Schutzmaßnahme
Am wirksamsten ist Antimalware-Software, die bösartige JavaScript-Ausführung erkennt und blockiert.
