Una peligrosa campaña de malware denominada JSCEAL ha sido identificada por investigadores de Check Point Research, dirigida específicamente a usuarios de aplicaciones de criptomonedas. Desde marzo de 2024, los ciberdelincuentes han desplegado más de 35.000 anuncios maliciosos en Facebook, engañando a millones de usuarios —principalmente en la Unión Europea— mediante apps falsas de trading financiero que simulan servicios legítimos como TradingView.
Un ataque en múltiples fases y altamente modular
El ataque inicia con anuncios patrocinados que utilizan cuentas robadas o nuevas para ganar credibilidad. Al hacer clic, la víctima es redirigida a una página web falsa, diseñada cuidadosamente para parecer una plataforma legítima. Desde allí, se le invita a descargar un instalador en formato MSI.
Este instalador oculta múltiples capas de infección:
- Fase de despliegue inicial: el archivo MSI extrae librerías DLL y establece comunicación con el sitio falso, ejecutando scripts que intentan conectarse a un servidor local en el puerto 30303.
- Fase de perfilado: las DLL recopilan información del sistema —como configuración del equipo, software instalado y datos de usuario— mediante comandos PowerShell. Esta información es exfiltrada al atacante en formato JSON.
- Fase final: si el dispositivo es considerado valioso, se activa el malware JSCEAL, ejecutado mediante Node.js a través de un archivo JavaScript compilado con el motor V8 (formato .jsc). Este formato permite ofuscar el código y eludir herramientas tradicionales de detección.
Capacidades avanzadas y evasión de análisis
JSCEAL no es un malware ordinario. Su arquitectura permite:
- Intercepción de tráfico web mediante un proxy local.
- Inyección de scripts maliciosos en sitios de banca, intercambio de criptomonedas y otras plataformas sensibles.
- Robo de credenciales en tiempo real, incluyendo:
- Cookies del navegador.
- Contraseñas almacenadas y datos de autocompletado.
- Cuentas de Telegram.
- Teclas pulsadas y capturas de pantalla.
- Manipulación directa de wallets de criptomonedas y ataques adversario-en-el-medio (AitM).
- Funcionalidad como troyano de acceso remoto (RAT) para control total del sistema.
Uno de los aspectos más complejos del análisis es que el malware requiere que el sitio web malicioso y el instalador estén activos y funcionando en paralelo, lo que complica tanto la replicación del ataque como su detección por herramientas automatizadas.
Impacto global y recomendaciones
Solo en el primer semestre de 2025, se estima que esta campaña ha alcanzado a 3,5 millones de usuarios en la UE y posiblemente más de 10 millones en todo el mundo, utilizando técnicas de publicidad maliciosa o malvertising en redes sociales.
Los investigadores destacan que esta amenaza representa una evolución significativa en las campañas de malware financiero, gracias a su estructura modular, técnicas anti-análisis y uso de archivos compilados JavaScript (.jsc), un vector poco habitual pero altamente efectivo para evadir controles.
Protección y mitigación
Check Point recomienda el uso de soluciones avanzadas como Threat Emulation y Harmony Endpoint, capaces de detectar cargas maliciosas y comportamiento sospechoso incluso en entornos altamente ofuscados. También advierte sobre la necesidad de una mayor concienciación entre los usuarios frente a enlaces patrocinados, especialmente los que prometen inversiones rápidas o beneficios en criptomonedas.
Fuentes:
- https://blog.checkpoint.com/crypto/jsceal-targets-crypto-app-users-a-new-threat-in-the-cyber-security-landscape/
- https://www.scworld.com/brief/novel-jsceal-malware-aims-to-drain-crypto-wallets
- https://thehackernews.com/2025/07/hackers-use-facebook-ads-to-spread.html
