Campaña JSCEAL: ataques a usuarios de apps de criptomonedas mediante anuncios maliciosos
728 x 90 px
Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha descubierto la campaña JSCEAL, que ataca a usuarios de apps de criptomonedas mediante anuncios maliciosos.
Check Point monitorea continuamente las amenazas emergentes de ciberseguridad y ha profundizado en la campaña JSCEAL, que ha estado atacando activamente a usuarios de aplicaciones de criptomonedas desde marzo de 2024. Mediante el uso de tácticas avanzadas y el aprovechamiento de anuncios maliciosos, esta campaña ha logrado evadir la detección y distribuir una sofisticada carga útil de malware.
JSCEAL, que suplanta la identidad de aplicaciones populares de trading de criptomonedas, es especialmente preocupante porque emplea archivos JavaScript compilados (JSC), una técnica que permite que el malware permanezca oculto a las soluciones de seguridad tradicionales. Aquí destacamos los aspectos técnicos de la cadena de ataque de JSCEAL y exploramos su impacto.
(Automático aquí)
La campaña JSCEAL utiliza archivos JavaScript V8 compilados (JSC), una función menos conocida del motor V8 de Google que permite la infiltración de código y la evasión del análisis estático. Esta innovadora técnica permite a los atacantes eludir los sistemas de detección, lo que dificulta enormemente detectar del código malicioso hasta su ejecución.
JSCEAL es notable por su escala, complejidad técnica y persistencia, habiendo evolucionado significativamente desde su descubrimiento.
Se ha observado el impresionante crecimiento de esta campaña, con miles de anuncios maliciosos que promocionan aplicaciones de criptomonedas falsas y que inducen a usuarios desprevenidos a descargar instaladores con malware. A pesar de ser detectadas y analizadas, muchas versiones del malware pasan desapercibidas para las herramientas de seguridad comunes.
Cadena de infección
JSCEAL opera en tres etapas clave: Despliegue inicial, scripts de perfilado y carga útil final de JSC. La campaña comienza con anuncios maliciosos que inducen a los usuarios a descargar instaladores MSI de sitios web falsos. Estos instaladores se basan en un sistema complejo que combina componentes JavaScript y MSI, lo que dificulta su análisis y detección de forma aislada.
Etapa 1: Despliegue inicial
La campaña comienza con publicidad maliciosa pagada en redes sociales, donde los atacantes se hacen pasar por aplicaciones de criptomonedas e instituciones financieras para atraer a los usuarios. Una vez que los usuarios hacen clic en estos anuncios, son redirigidos a través de múltiples capas a una página de destino falsa que les solicita descargar un instalador MSI.
Etapa 2: Scripts de creación de perfiles
Al ejecutarse, el instalador MSI activa una secuencia de scripts de creación de perfiles que recopilan información crítica del sistema, como datos del equipo, software instalado y configuraciones del usuario. Estos scripts utilizan comandos de PowerShell para recopilar y exfiltrar los datos, preparando el sistema para la carga útil final.
Etapa 3: Carga útil final de JSC
La etapa final implica la implementación del malware JSCEAL, que roba información confidencial relacionada con criptomonedas, incluyendo credenciales y monederos. La carga útil se ejecuta a través de Node.js, un framework que permite al malware eludir la detección de los sistemas de seguridad convencionales. El alcance de la campaña JSCEAL ha sido extenso, especialmente dentro de la UE, donde se estima que se publicaron 35.000 anuncios maliciosos entre enero y junio de 2025.
Esta cifra no incluye países no pertenecientes a la UE, lo que indica la escala global de la amenaza. El uso de la biblioteca de anuncios de Facebook permitió estimar el alcance de la campaña; si bien, con un enfoque muy conservador, se estima el alcance total de la campaña de publicidad maliciosa en 3,5 millones de usuarios solo dentro de la UE, y probablemente en más de 10 millones de usuarios a nivel mundial.
JSCEAL representa un avance significativo en la forma en que los ciberdelincuentes utilizan plataformas legítimas para realizar ataques. Mediante el uso de cargas útiles de JSC, los atacantes pueden ocultar eficazmente su código y evadir las soluciones de seguridad, lo que dificulta la detección temprana del ataque. La capacidad de JSCEAL para recopilar y exfiltrar datos confidenciales de usuarios de criptomonedas pone de relieve la necesidad de medidas de seguridad más sólidas para las plataformas de criptomonedas y sus usuarios.
“Los ciberdelincuentes siguen utilizando tácticas sofisticadas para atacar a los usuarios de aplicaciones populares, siendo la campaña JSCEAL un claro ejemplo de esta tendencia. A medida que los atacantes adoptan técnicas más avanzadas, como JavaScript compilado y Node.js, las medidas de seguridad tradicionales se ven cada vez más comprometidas. Sin embargo, con las herramientas de seguridad adecuadas y estrategias de defensa proactivas, las organizaciones pueden defenderse mejor contra estas amenazas en constante evolución” afirmó Ángel Salazar, Gerente de Ingeniería de Seguridad de Canales en América Latina de Check Point Software.
Protecciones
Las soluciones Threat Emulation y Harmony Endpoint de Check Point ofrecen una protección robusta contra las tácticas y amenazas descritas en esta publicación. Estas herramientas están diseñadas para detectar y bloquear ataques similares a JSCEAL, garantizando que tanto los usuarios individuales como las organizaciones estén protegidos contra esta y otras amenazas emergentes similares.
