Por Mid 
JSCEAL: el nuevo malware que roba criptomonedas a través de anuncios en Facebook
Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Alta
Conclusiones clave
- JSCEAL ha lanzado más de 35,000 anuncios maliciosos en Facebook, dirigiendo a los usuarios a aplicaciones fraudulentas de trading.
- El malware utiliza un ataque modular en varias etapas, con un instalador en formato MSI que permite múltiples capas de infectación.
- Sus capacidades incluyen intercepción de tráfico, robo en tiempo real de credenciales y manipulación de wallets de criptomonedas.
- Se estima que ha afectado a 3.5 millones de usuarios en la UE y potencialmente a más de 10 millones a nivel global.
- Se recomienda el uso de soluciones avanzadas de ciberseguridad para mitigar los riesgos asociados.
Índice
- Un ataque modular y en varias etapas
- Avanzadas capacidades de evasión y análisis
- Alcance global y consejos de seguridad
- Recomendaciones para la protección y mitigación
Un ataque modular y en varias etapas
El ataque comienza con anuncios patrocinados creados a partir de cuentas robadas o recientemente registradas que les otorgan una apariencia de legitimidad. Al hacer clic en estos anuncios, la víctima es dirigida a una página web falsa diseñada meticulosamente para replicar una plataforma auténtica. En esta página, se les solicita que descarguen un instalador en formato MSI. Este instalador contiene varias capas de infectación:
- Despliegue inicial: el archivo MSI extrae bibliotecas DLL y establece comunicación con el sitio falso, ejecutando scripts que intentan conectarse a un servidor local en el puerto 30303.
- Perfilado: las DLL recogen información del sistema, incluyendo la configuración del equipo, el software instalado y datos de usuario, utilizando comandos PowerShell. Todos estos datos son enviados al atacante en formato JSON.
- Fase final: si el dispositivo se considera valioso, se activa el malware JSCEAL, el cual se ejecuta mediante Node.js a través de un archivo JavaScript compilado en formato .jsc. Este formato no solo facilita la ofuscación del código, sino que también le permite eludir herramientas de detección convencionales.
Avanzadas capacidades de evasión y análisis
JSCEAL se distingue de otros malware por su arquitectura robusta que permite varias funcionalidades, tales como:
- Intercepción de tráfico web mediante un proxy local.
- Inyección de scripts maliciosos en plataformas de banca, intercambios de criptomonedas y otros sitios sensibles.
- Robo en tiempo real de credenciales, que abarca: cookies del navegador, contraseñas guardadas, datos de autocompletado, cuentas de Telegram, teclas pulsadas y capturas de pantalla.
- Manipulación de wallets de criptomonedas y ejecución de ataques del tipo adversario-en-el-medio (AitM).
- Actuación como un troyano de acceso remoto (RAT) para un control total del dispositivo.
Uno de los retos significativos en el análisis de este malware es que requiere la simultaneidad entre el sitio web malicioso y el instalador en ejecución, lo que complica tanto la replicación del ataque como su detección automatizada.
Alcance global y consejos de seguridad
Se estima que, en el primer semestre de 2025, esta campaña ha impactado a alrededor de 3.5 millones de usuarios en la UE, con un alcance potencial de más de 10 millones a nivel mundial. Los métodos empleados incluyen la publicidad maliciosa, conocida como malvertising, en redes sociales. Este fenómeno es considerado una notable evolución en las tácticas de malware financiero, derivado de su estructura modular y uso de técnicas avanzadas de evasión.
Recomendaciones para la protección y mitigación
Desde Check Point se sugiere implementar soluciones avanzadas como Threat Emulation y Harmony Endpoint, las cuales son capaces de identificar cargas maliciosas y comportamientos sospechosos, incluso en entornos altamente ofuscados. También se subraya la importancia de mejorar la concienciación de los usuarios frente a enlaces promocionados, sobre todo aquellos que ofrecen promesas de inversiones rápidas o beneficios en criptomonedas.