Campaña JSCEAL: ataques a usuarios de apps de criptomonedas mediante anuncios maliciosos

ESPACIO PREMIUM
728 x 90 px
ESPACIO PREMIUM
728 x 90 px

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha descubierto la campaña JSCEAL, que ataca a usuarios de apps de criptomonedas mediante anuncios maliciosos.

Check Point monitorea continuamente las amenazas emergentes de ciberseguridad y ha profundizado en la campaña JSCEAL, que ha estado atacando activamente a usuarios de aplicaciones de criptomonedas desde marzo de 2024. Mediante el uso de tácticas avanzadas y el aprovechamiento de anuncios maliciosos, esta campaña ha logrado evadir la detección y distribuir una sofisticada carga útil de malware.

JSCEAL, que suplanta la identidad de aplicaciones populares de trading de criptomonedas, es especialmente preocupante porque emplea archivos JavaScript compilados (JSC), una técnica que permite que el malware permanezca oculto a las soluciones de seguridad tradicionales. Aquí destacamos los aspectos técnicos de la cadena de ataque de JSCEAL y exploramos su impacto.

GOOGLE ADS
(Automático aquí)

La campaña JSCEAL utiliza archivos JavaScript V8 compilados (JSC), una función menos conocida del motor V8 de Google que permite la infiltración de código y la evasión del análisis estático. Esta innovadora técnica permite a los atacantes eludir los sistemas de detección, lo que dificulta enormemente detectar del código malicioso hasta su ejecución.

JSCEAL es notable por su escala, complejidad técnica y persistencia, habiendo evolucionado significativamente desde su descubrimiento.

Se ha observado el impresionante crecimiento de esta campaña, con miles de anuncios maliciosos que promocionan aplicaciones de criptomonedas falsas y que inducen a usuarios desprevenidos a descargar instaladores con malware. A pesar de ser detectadas y analizadas, muchas versiones del malware pasan desapercibidas para las herramientas de seguridad comunes.

Cadena de infección

JSCEAL opera en tres etapas clave: Despliegue inicial, scripts de perfilado y carga útil final de JSC. La campaña comienza con anuncios maliciosos que inducen a los usuarios a descargar instaladores MSI de sitios web falsos. Estos instaladores se basan en un sistema complejo que combina componentes JavaScript y MSI, lo que dificulta su análisis y detección de forma aislada.

Etapa 1: Despliegue inicial

La campaña comienza con publicidad maliciosa pagada en redes sociales, donde los atacantes se hacen pasar por aplicaciones de criptomonedas e instituciones financieras para atraer a los usuarios. Una vez que los usuarios hacen clic en estos anuncios, son redirigidos a través de múltiples capas a una página de destino falsa que les solicita descargar un instalador MSI.

Etapa 2: Scripts de creación de perfiles

Al ejecutarse, el instalador MSI activa una secuencia de scripts de creación de perfiles que recopilan información crítica del sistema, como datos del equipo, software instalado y configuraciones del usuario. Estos scripts utilizan comandos de PowerShell para recopilar y exfiltrar los datos, preparando el sistema para la carga útil final.

Etapa 3: Carga útil final de JSC

La etapa final implica la implementación del malware JSCEAL, que roba información confidencial relacionada con criptomonedas, incluyendo credenciales y monederos. La carga útil se ejecuta a través de Node.js, un framework que permite al malware eludir la detección de los sistemas de seguridad convencionales. El alcance de la campaña JSCEAL ha sido extenso, especialmente dentro de la UE, donde se estima que se publicaron 35.000 anuncios maliciosos entre enero y junio de 2025.

Esta cifra no incluye países no pertenecientes a la UE, lo que indica la escala global de la amenaza. El uso de la biblioteca de anuncios de Facebook  permitió estimar el alcance de la campaña; si bien, con un enfoque muy conservador, se estima el alcance total de la campaña de publicidad maliciosa en 3,5 millones de usuarios solo dentro de la UE, y probablemente en más de 10 millones de usuarios a nivel mundial.

JSCEAL representa un avance significativo en la forma en que los ciberdelincuentes utilizan plataformas legítimas para realizar ataques. Mediante el uso de cargas útiles de JSC, los atacantes pueden ocultar eficazmente su código y evadir las soluciones de seguridad, lo que dificulta la detección temprana del ataque. La capacidad de JSCEAL para recopilar y exfiltrar datos confidenciales de usuarios de criptomonedas pone de relieve la necesidad de medidas de seguridad más sólidas para las plataformas de criptomonedas y sus usuarios.

“Los ciberdelincuentes siguen utilizando tácticas sofisticadas para atacar a los usuarios de aplicaciones populares, siendo la campaña JSCEAL un claro ejemplo de esta tendencia. A medida que los atacantes adoptan técnicas más avanzadas, como JavaScript compilado y Node.js, las medidas de seguridad tradicionales se ven cada vez más comprometidas. Sin embargo, con las herramientas de seguridad adecuadas y estrategias de defensa proactivas, las organizaciones pueden defenderse mejor contra estas amenazas en constante evolución” afirmó Ángel Salazar, Gerente de Ingeniería de Seguridad de Canales en América Latina de Check Point Software.

Protecciones

Las soluciones Threat Emulation y Harmony Endpoint de Check Point ofrecen una protección robusta contra las tácticas y amenazas descritas en esta publicación. Estas herramientas están diseñadas para detectar y bloquear ataques similares a JSCEAL, garantizando que tanto los usuarios individuales como las organizaciones estén protegidos contra esta y otras amenazas emergentes similares.

GOOGLE ADS
(Automático aquí)

Gustavo Torres

Amante de la tecnología con 7 años de experiencia en el cubrimiento informativo de este sector en temas como telecomunicaciones, tecnología de consumo, dispositivos móviles y plataformas en Colombia.

Mi opinión sobre tecnología ha sido tomada por medios como La República o AS. Soy especialista productos de consumo masivo y reviews de hardware. Soy director de tecnogus.com.co

Comparte...

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *