Foto: Max Acronym/Shutterstock
Check Point Research heeft op 29 juli 2025 een rapport opgemaakt over een nieuw virus, dat vooral gericht is op crypto-gebruikers.
Over welk virus gaat het en waar moeten we voor oppassen?
Hoe werkt het virus?
Het virus, dat JSCEAL is genoemd, is opgemerkt door een analysetool voor Compiled JavaScript files (JSC). Dit virus is al sinds maart 2024 actief en heeft rond de 10 miljoen gebruikers geïnfecteerd.
Bij een reclame campagne werden bekende crypto trading apps nagemaakt. Dit virus heeft sinds zijn aantreden zelfs een ontwikkeling doorgemaakt.
De laatste versie zorgt ervoor dat de analysetools van je computer uitgeschakeld worden, doordat je programmaatjes downloadt die hiervoor zorgen. Fake websites laten valse reclames zien die, als je er op klikt, het virus op je computer installeren. Vanaf dat moment zal er een script afgewerkt worden dat uiteindelijk de JSC bedreiging uitvoert.
Omdat er tijd verstrijkt tussen de infectie en de uitvoer wordt deze infectie vaak niet opgemerkt. Een groot deel van deze bedreigingen zijn al bekend uit de whitepaper van de malware campagne die WeevilProxy heet.
JSCEAL heeft op grote schaal infecties veroorzaakt en is technisch goed in elkaar gestoken. De reclamecampagne heeft miljoenen views gekregen.
Drie ‘stages’ van het cryptovirus
De huidige versie van het virus heeft drie stages. De eerste is de initiële inzet, daarna volgt een script voor je profiel en uiteindelijk volgt de finale JSC lading, die de schade doet. De eerste twee stages worden steeds verder doorontwikkeld.
De eerste stage toont je advertenties die je aansporen om een kwaadaardige installer te downloaden vanuit de website van een aanvaller. Via betaalde advertenties op social media en gestolen of nieuwe accounts worden advertenties getoond van valide uitziende bekende bedrijven uit de crypto sector.
Op basis van je IP adres wordt je vervolgens naar een gevaarlijke fake website gestuurd of naar een ongevaarlijke afleidingswebsite.
Zit je bij hun target, dan krijg je een website te zien die precies lijkt op de app van grote bedrijven, zoals van TradingView, Kraken, Binance en MetaMask. Klik je daar op downloaden, dan komt de MSI installer op je website en ben je geïnfecteerd. Vanaf dat moment is je cryptocurrency in gevaar. Bij het omleiden krijg je zelfs de officiële website van bijvoorbeeld TradingView te zien, zodat je niks in de gaten hebt.
Het eerste dat de aanvallers doen bij een infectie is kijken of je een interessant slachtoffer bent. Dit doen ze door je hele computer door te lichten, zoals je e-mails, je geïnstalleerde software, cookies en dergelijke. Ook heeft dit virus keyboard input loggers, die een opname kunnen maken van wat je intypt, waardoor ze aan je wachtwoorden kunnen komen.
De beste remedie tegen dit virus is anti malware die kwaadaardige JavaScript-uitvoer kan detecteren en stoppen.
Bullish: Bitcoin breekt koersrecord – alle Nederlanders krijgen € 10 crypto cadeau
Miljoenen Nederlanders hebben al crypto. En Bitvavo nodigt jou uit: Ontvang tijdelijk € 10 gratis crypto naar keuze. Handel gratis in meer dan 350 crypto samen met 1 miljoen Nederlanders.
Registreer je vandaag en ontvang direct € 10 crypto naar keuze. Een account aanmaken is gratis en kost je maar een minuut.
