Investigadores de Check Point Research han destapado una operación maliciosa a gran escala que utiliza publicidad engañosa en Facebook para distribuir un nuevo y peligroso malware conocido como JSCEAL. Esta campaña, en marcha desde marzo de 2024, ha colocado más de 35.000 anuncios fraudulentos, afectando principalmente a usuarios en la Unión Europea, al camuflarse como aplicaciones legítimas de trading financiero, como TradingView.

Un ataque estructurado en varias etapas

La campaña emplea anuncios patrocinados desde cuentas comprometidas o recién creadas para simular autenticidad. Al interactuar con estos anuncios, los usuarios son redirigidos a portales falsificados que imitan plataformas reconocidas. Desde ahí, se les incita a descargar un archivo instalador en formato MSI.

Ese instalador esconde un proceso de infección dividido en varias fases:

  • Despliegue inicial: el MSI descomprime librerías DLL y se comunica con el sitio malicioso, ejecutando scripts que intentan establecer conexión con un servidor local a través del puerto 30303.
  • Recolecta de información: mediante comandos de PowerShell, las DLL extraen detalles sobre el sistema, software y usuario, que luego son enviados al atacante en formato JSON.
  • Activación del malware: si el equipo infectado es considerado de interés, entra en acción el malware JSCEAL, ejecutado con Node.js usando un archivo .jsc (JavaScript compilado con el motor V8), que dificulta la detección al estar ofuscado.

Capacidades avanzadas de espionaje y robo

JSCEAL no se limita a infectar: es una herramienta multifuncional capaz de:

  • Interceptar el tráfico web a través de un proxy local.
  • Inyectar scripts maliciosos en plataformas bancarias y de intercambio de criptomonedas.
  • Robar credenciales y cookies del navegador, datos de autocompletado, contraseñas almacenadas, accesos a Telegram, y realizar keylogging y capturas de pantalla.
  • Manipular directamente billeteras de criptomonedas y realizar ataques del tipo adversario-en-el-medio (AitM).
  • Funcionar como un troyano de acceso remoto (RAT) con control total del sistema.

Uno de los mayores desafíos para analizar este malware es que requiere que tanto el sitio web falso como el instalador estén activos simultáneamente, lo que complica su detección automatizada y análisis en entornos controlados.

Escala del ataque y medidas de prevención

En la primera mitad de 2025, se calcula que más de 3,5 millones de usuarios en la UE y posiblemente más de 10 millones a nivel global han sido expuestos a esta amenaza, que se vale de técnicas de malvertising en redes sociales.

Los expertos advierten que esta operación representa una evolución crítica en las campañas de malware financiero, combinando arquitectura modular, evasión avanzada y el uso inusual de archivos .jsc como vector de infección.

Recomendaciones

Para mitigar riesgos, Check Point sugiere utilizar soluciones de ciberseguridad como Threat Emulation y Harmony Endpoint, diseñadas para detectar cargas sospechosas y comportamientos anómalos incluso en sistemas que aún no han sido comprometidos visiblemente.

unaaldia.hispasec[.]com

You May Also Like

El nuevo malware COSMICENERGY explota el protocolo ICS para sabotear las redes eléctricas

wpadmin001

¿Has recibido un correo de una persona conocida con un enlace a una noticia sobre inversiones en criptomonedas?

wpadmin001

ScarCruft de Corea del Norte despliega el malware KoSpy para espiar a usuarios de Android mediante apps falsas

HKN FEED