O JSCEAL distingue-se pela sua estrutura modular e pela complexidade das suas técnicas de infeção, que dificultam a deteção por soluções de segurança tradicionais. O ataque desenvolve-se em três fases: começa com a distribuição de instaladores MSI a partir de sites falsos, seguida por scripts que recolhem informações do sistema, e culmina com a entrega da carga final - um malware baseado em JavaScript compilado (JSC), executado via Node.js, destinado a roubar carteiras digitais e credenciais de criptomoedas.

Durante a fase inicial, os atacantes utilizam redes sociais para promover anúncios que redirecionam as vítimas para sites falsificados. O instalador descarregado ativa scripts de perfilação que recolhem dados do sistema usando comandos PowerShell, preparando o ambiente para a instalação do malware final. Esta abordagem altamente furtiva dificulta a análise isolada dos ficheiros e impede a sua deteção por antivírus convencionais.

A fase final consiste na execução de código malicioso que opera de forma quase invisível, conseguindo extrair informação sensível sem levantar suspeitas. A utilização de Node.js como motor de execução permite ao JSCEAL contornar vários mecanismos de segurança baseados em assinaturas e comportamentos estáticos.

Para mitigar esta ameaça, a Check Point recomenda o uso de soluções como o Harmony Endpoint e o Threat Emulation, que combinam inteligência artificial, análise comportamental e mecanismos avançados de deteção. Segundo Rui Duro, Country Manager da empresa em Portugal, esta campanha demonstra um salto qualitativo nos métodos usados pelos atacantes para explorar plataformas sociais e enganar utilizadores de forma altamente direcionada.