Una nueva amenaza ha emergido en el panorama de ciberseguridad: JSCEAL, un malware altamente evasivo que utiliza anuncios patrocinados en Facebook para infectar a usuarios de aplicaciones de criptomonedas. Detectado por Check Point Research, el ataque ha estado activo desde marzo de 2024 y ya ha comprometido a millones de usuarios, principalmente en la Unión Europea.

¿Cómo funciona JSCEAL?

Este ataque se basa en una campaña de malvertising (publicidad maliciosa) distribuida a través de más de 35,000 anuncios falsos en Facebook. Los delincuentes usan cuentas comprometidas o nuevas para promocionar apps de inversión que imitan servicios legítimos como TradingView, atrayendo a usuarios desprevenidos.

Un ataque modular y en varias etapas

El proceso de infección sigue un enfoque escalonado:

1. Fase inicial: El usuario es redirigido a una página falsa, con apariencia profesional. Se le invita a descargar un archivo MSI, que contiene librerías DLL maliciosas y se conecta a un servidor local en el puerto 30303.
2. Fase de reconocimiento: Las DLL ejecutan comandos PowerShell para recolectar datos del sistema (hardware, software instalado, usuario) y los envían al atacante en formato JSON.
3. Fase de activación: Si el equipo resulta de interés, se despliega JSCEAL, un malware ejecutado con Node.js a través de un archivo JavaScript compilado con el motor V8 (.jsc), dificultando su análisis por antivirus tradicionales.

Capacidades avanzadas de JSCEAL

Este malware destaca por su capacidad de evasión y su versatilidad para ejecutar diversas acciones maliciosas:

• Intercepta tráfico mediante proxy local.
• Inyecta código malicioso en sitios de intercambio de criptomonedas y banca online.
• Roba en tiempo real:
  • Cookies y credenciales del navegador.
  • Contraseñas almacenadas y datos de formularios.
  • Cuentas de Telegram.
  • Keystrokes y capturas de pantalla.
• Ejecuta ataques de tipo AitM (Adversary-in-the-Middle).
• Manipula directamente wallets de criptomonedas.
• Funciona como un troyano de acceso remoto (RAT), permitiendo el control total del equipo.

Un detalle crucial es que el malware requiere que tanto el instalador como el sitio web falso estén activos simultáneamente, lo que obstaculiza su análisis y dificulta su detección por soluciones automáticas.

Impacto global de la campaña

Durante los primeros seis meses de 2025, se estima que más de 3.5 millones de personas en Europa han sido expuestas, con una proyección de hasta 10 millones a nivel mundial. JSCEAL marca un salto cualitativo en las amenazas contra el ecosistema cripto, combinando ingeniería social, tecnología avanzada y técnicas de evasión poco comunes.

Recomendaciones de seguridad

Los expertos de Check Point recomiendan:

• Implementar soluciones de protección avanzada como Threat Emulation y Harmony Endpoint, capaces de detectar cargas ocultas y comportamientos anómalos.
• No confiar en anuncios patrocinados que ofrezcan ganancias rápidas o plataformas de inversión milagrosas.
• Verificar siempre la autenticidad de las aplicaciones antes de descargarlas, especialmente aquellas relacionadas con criptomonedas o finanzas.

🔗 Fuentes:

• Check Point Research
• SC World
• The Hacker News