JSCEAL: el nuevo malware que roba criptomonedas a través de anuncios en Facebook

Una peligrosa campaña de malware denominada JSCEAL ha sido identificada por investigadores de Check Point Research, dirigida específicamente a usuarios de aplicaciones de criptomonedas. Desde marzo de 2024, los ciberdelincuentes han desplegado más de 35.000 anuncios maliciosos en Facebook, engañando a millones de usuarios —principalmente en la Unión Europea— mediante apps falsas de trading financiero que simulan servicios legítimos como TradingView.

Un ataque en múltiples fases y altamente modular

El ataque inicia con anuncios patrocinados que utilizan cuentas robadas o nuevas para ganar credibilidad. Al hacer clic, la víctima es redirigida a una página web falsa, diseñada cuidadosamente para parecer una plataforma legítima. Desde allí, se le invita a descargar un instalador en formato MSI.

Este instalador oculta múltiples capas de infección:

1. Fase de despliegue inicial: el archivo MSI extrae librerías DLL y establece comunicación con el sitio falso, ejecutando scripts que intentan conectarse a un servidor local en el puerto 30303.
   
2. Fase de perfilado: las DLL recopilan información del sistema —como configuración del equipo, software instalado y datos de usuario— mediante comandos PowerShell. Esta información es exfiltrada al atacante en formato JSON.
   
3. Fase final: si el dispositivo es considerado valioso, se activa el malware JSCEAL, ejecutado mediante Node.js a través de un archivo JavaScript compilado con el motor V8 (formato .jsc). Este formato permite ofuscar el código y eludir herramientas tradicionales de detección.

Capacidades avanzadas y evasión de análisis

JSCEAL no es un malware ordinario. Su arquitectura permite:

• Intercepción de tráfico web mediante un proxy local.
• Inyección de scripts maliciosos en sitios de banca, intercambio de criptomonedas y otras plataformas sensibles.
• Robo de credenciales en tiempo real, incluyendo:
  • Cookies del navegador.
  • Contraseñas almacenadas y datos de autocompletado.
  • Cuentas de Telegram.
  • Teclas pulsadas y capturas de pantalla.
• Manipulación directa de wallets de criptomonedas y ataques adversario-en-el-medio (AitM).
• Funcionalidad como troyano de acceso remoto (RAT) para control total del sistema.

Uno de los aspectos más complejos del análisis es que el malware requiere que el sitio web malicioso y el instalador estén activos y funcionando en paralelo, lo que complica tanto la replicación del ataque como su detección por herramientas automatizadas.

Impacto global y recomendaciones

Solo en el primer semestre de 2025, se estima que esta campaña ha alcanzado a 3,5 millones de usuarios en la UE y posiblemente más de 10 millones en todo el mundo, utilizando técnicas de publicidad maliciosa o malvertising en redes sociales.

Los investigadores destacan que esta amenaza representa una evolución significativa en las campañas de malware financiero, gracias a su estructura modular, técnicas anti-análisis y uso de archivos compilados JavaScript (.jsc), un vector poco habitual pero altamente efectivo para evadir controles.

Protección y mitigación

Check Point recomienda el uso de soluciones avanzadas como Threat Emulation y Harmony Endpoint, capaces de detectar cargas maliciosas y comportamiento sospechoso incluso en entornos altamente ofuscados. También advierte sobre la necesidad de una mayor concienciación entre los usuarios frente a enlaces patrocinados, especialmente los que prometen inversiones rápidas o beneficios en criptomonedas.

Fuentes:

• https://blog.checkpoint.com/crypto/jsceal-targets-crypto-app-users-a-new-threat-in-the-cyber-security-landscape/
• https://www.scworld.com/brief/novel-jsceal-malware-aims-to-drain-crypto-wallets
• https://thehackernews.com/2025/07/hackers-use-facebook-ads-to-spread.html

La entrada JSCEAL: el nuevo malware que roba criptomonedas a través de anuncios en Facebook se publicó primero en Una Al Día.

---

☞ El artículo completo original de Raúl Fernandez lo puedes ver aquí