Les amateurs de crypto-actifs feraient bien de redoubler de vigilance. Depuis plusieurs mois, une campagne d’escroquerie en ligne particulièrement sophistiquée se propage à grande échelle. Elle exploite des publicités en apparence anodines pour diffuser un logiciel malveillant conçu pour siphonner les données des utilisateurs de plateformes de crypto-monnaies.
Dévoilée par les chercheurs en cybersécurité de Check Point Research, cette opération, baptisée JSCEAL, a été détectée dans plusieurs pays européens et aurait déjà touché des millions d’internautes, selon les estimations les plus prudentes. Elle constitue l’une des attaques les plus avancées techniquement recensées cette année dans le secteur des actifs numériques.
Des publicités trompeuses pour appâter les victimes
Le procédé utilisé repose sur le « malvertising », un terme issu de la contraction de « malicious advertising » (publicité malveillante). En clair, les pirates achètent des encarts publicitaires sur des plateformes légitimes , « notamment sur les réseaux sociaux » et les utilisent pour rediriger les internautes vers de faux sites de portefeuilles ou d’échanges de crypto-monnaies.
L’objectif est clair : inciter l’utilisateur à télécharger une application piégée, censée lui permettre de gérer ses avoirs en crypto. En réalité, le programme installe discrètement un maliciel espion, ou « infostealer », capable d’aspirer les informations sensibles stockées sur l’ordinateur, telles que les identifiants, mots de passe ou clés privées nécessaires à l’accès aux fonds numériques.
Une technique redoutable de furtivité
Ce qui rend cette campagne particulièrement inquiétante, c’est la technologie employée pour contourner les systèmes de sécurité traditionnels. Contrairement à la majorité des logiciels malveillants, JSCEAL s’appuie sur des fichiers JavaScript compilés (JSC) via le moteur V8 de Google.
« Cette méthode permet d’obfusquer le code, c’est-à-dire de le rendre illisible pour les outils d’analyse automatisés. Cela complique fortement la détection, même pour des antivirus réputés », explique Thierry Karsenti, expert en cybersécurité indépendant, contacté par Le Figaro. Selon lui, « c’est une démonstration du niveau de sophistication atteint par certains groupes de cybercriminels ».
Une campagne massive : plus de 35 000 publicités malveillantes en Europe
Les chiffres fournis par Check Point donnent la mesure du phénomène. Entre janvier et juin 2025, pas moins de 35 000 publicités malveillantes ont été diffusées rien qu’au sein de l’Union européenne. Grâce aux outils de suivi publicitaire comme la Facebook Ad Library, les chercheurs estiment que la campagne aurait pu toucher jusqu’à 3,5 millions de personnes dans l’UE et plus de 10 millions à l’échelle mondiale.
« Les attaquants ont investi massivement dans la diffusion de leurs annonces, parfois avec des budgets dignes d’une entreprise marketing », note un analyste de Check Point. Les publicités, souvent bien conçues graphiquement, empruntent l’identité visuelle de services bien connus du monde crypto, à l’instar de Binance, MetaMask ou Trust Wallet.
Une chaîne d’infection bien rodée
L’installation du malware suit un processus en plusieurs étapes :
- L’internaute clique sur une publicité sponsorisée affichée sur un réseau social ou un site d’actualité.
- Il est dirigé vers une fausse plateforme d’échange qui imite presque parfaitement une interface réelle.
- On lui propose alors de télécharger un fichier .MSI, censé installer l’application.
- Une fois lancé, ce fichier exécute une série de scripts PowerShell qui collectent des informations système (type de machine, réseau, logiciels installés…).
- Ces données sont ensuite exfiltrées vers un serveur distant, où les pirates décident de déployer ou non la charge finale : le malware JSCEAL, capable de dérober les données liées aux portefeuilles de crypto.
Une menace encore largement indétectable
Malgré les efforts déployés par les éditeurs de solutions de sécurité, de nombreuses versions de JSCEAL échappent toujours aux radars. Des échantillons envoyés sur des plateformes comme VirusTotal ne sont pas détectés comme malveillants par la majorité des antivirus, selon les résultats observés par Check Point.
« Il faut comprendre que nous avons affaire ici à une attaque modulaire, conçue pour évoluer très rapidement. Chaque lot de scripts peut être modifié en quelques heures, ce qui rend la tâche très difficile pour les équipes de défense », ajoute Thierry Karsenti.
Comment se protéger face à cette menace ?
Les experts rappellent quelques règles de prudence de base, particulièrement importantes pour les détenteurs de crypto-actifs :
- Ne jamais cliquer sur une publicité proposant une application crypto, même si elle semble authentique.
- Télécharger les logiciels uniquement depuis les sites officiels, dont l’URL commence généralement par https et contient le nom exact du service.
- Utiliser des portefeuilles hors ligne (cold wallets) pour stocker des montants importants.
- Éviter de conserver ses clés privées ou mots de passe dans des fichiers non chiffrés sur l’ordinateur.
- Vérifier régulièrement les connexions actives sur son compte lorsqu’il est hébergé sur une plateforme centralisée.
Enfin, bien que JSCEAL soit capable de contourner nombre d’antivirus, il est recommandé d’utiliser des solutions de sécurité avancées, comme celles intégrant une détection comportementale (EDR), plutôt que de simples scanners classiques.
Un avertissement pour l’ensemble de l’écosystème crypto
Cette attaque ne constitue pas un cas isolé, mais s’inscrit dans une tendance de fond : l’exploitation croissante de la publicité numérique pour piéger les utilisateurs. Dans un marché en pleine démocratisation, où des millions de particuliers se lancent dans l’achat de crypto-monnaies sans toujours en maîtriser les risques, les escrocs redoublent de créativité.
« L’usage de technologies issues du développement web pour contourner les antivirus montre que les pirates savent s’adapter à leur époque. Et tant que les crypto-monnaies représenteront une valeur tangible, ils continueront de chercher des moyens de les voler », conclut Thierry Karsenti.
Fiche technique du Malware :
| Élément | Détail |
|---|---|
| Nom de la menace | JSCEAL |
| Détecté par | Check Point Research |
| Type de menace | Infostealer (logiciel espion) |
| Support d’infection | Publicités malveillantes (malvertising) |
| Cible principale | Utilisateurs de crypto-monnaies |
| Méthode de furtivité | JavaScript compilé via moteur V8 (JSC) |
| Portée estimée (UE) | +3,5 millions d’utilisateurs touchés |
| Antivirus contournés | Oui (la plupart non détectent pas JSCEAL) |
Récap :
- La campagne JSCEAL vise les utilisateurs de crypto-monnaies via des fausses publicités.
- Le malware est très difficile à détecter en raison de l’utilisation de JavaScript compilé.
- Les dégâts potentiels sont majeurs : vols de mots de passe, clés privées, accès à des portefeuilles numériques.
- Une extrême prudence s’impose sur les publicités en ligne.