El malware JSCEAL que robadentpodría haberse propagado a más de 10 millones de usuarios

Una nueva campaña de malware JSCEAL imita 50 plataformas de criptomonedas populares, según Check Point Research. La operación utiliza anuncios maliciosos para distribuir aplicaciones falsas dirigidas a los usuarios.

Se estima que 10 millones de personas en todo el mundo han sido víctimas de ataques. La campaña utiliza archivos JavaScript compilados para robar billeteras ydentde criptomonedas de forma eficaz.

Una campaña publicitaria maliciosa llega a 10 millones de usuarios

La campaña JSCEAL expuso alrededor de 35.000 anuncios maliciosos en el primer semestre de 2025. Estos anuncios obtuvieron millones de visualizaciones en la Unión Europea. Check Point Research estima que alrededor de 10 millones de personas los vieron en todo el mundo.

Agentes malintencionados compartieron material malicioso en cuentas pirateadas o perfiles nuevos. Las publicaciones promocionadas facilitaron la distribución de anuncios falsos en redes sociales. Los anuncios hablaban principalmente de criptomonedas, tokens y bancos.

La campaña se ejecutó utilizando aplicaciones falsificadas en casi 50 instituciones financieras. Los atacantes registraron nombres de dominio con ciertas convenciones de nomenclatura para la redirección. Los dominios de nivel superior contenían la extensión .com, de acuerdo con la terminología correspondiente.

Los patrones en el dominio incluían versiones de aplicación, descarga, escritorio, PC y Windows. Cada palabra se usaba individualmente o en plural en los dominios. La combinatoria muestra que hay 560 nombres de dominio únicos que cumplen con las reglas.

Solo el 15% de los dominios potenciales aparecieron registrados en el momento de la publicación. Las cadenas de redirección filtraron los destinos según la dirección IP y las fuentes de referencia.

Las víctimas fuera de los rangos deseados recibían sitios web señuelo en lugar de contenido malicioso. Se requerían referencias de Facebook para redirigir a páginas falsas. El sistema de filtrado ayudaba a los atacantes a evitar ser detectados mientras alcanzaban a sus víctimas objetivo.

La biblioteca de anuncios de Meta proporcionó estimaciones del alcance de los anuncios en la UE. Los cálculos conservadores suponen que cada anuncio alcanzó un mínimo de 100 usuarios. El alcance total de la campaña superó los 3,5 millones dentro de la Unión Europea.

El alcance global podría superar fácilmente los 10 millones, considerando países no pertenecientes a la UE. Las campañas también suplantaron la identidad de instituciones financieras y de criptomonedas asiáticas.

La campaña utiliza sofisticadas tácticas de engaño para evitar ser detectada

La campaña JSCEAL utiliza ciertos métodos antievasión, lo que resulta en tasas de detección extremadamente bajas. El malware permaneció sin detectar durante largos periodos, según el análisis de Check Point. Estas sofisticadas técnicas ayudan a los atacantes a eludir las medidas de seguridad tradicionales en múltiples plataformas.

Las víctimas que hacen clic en anuncios maliciosos son redirigidas a sitios web falsos que parecen legítimos. Estos sitios web falsos incitan a descargar aplicaciones maliciosas que parecen auténticas. Los atacantes diseñan sitios web que imitan fielmente las interfaces de las plataformas de criptomonedas reales.

El malware utiliza el funcionamiento simultáneo del sitio web y el software de instalación. Este enfoque dual dificulta el análisis y la detección de los investigadores de seguridad. Los componentes individuales parecen inofensivos al examinarlos por separado, lo que dificulta su detección.

Esta táctica de engaño convence a las víctimas de que han instalado software auténtico. Mientras tanto, el malware opera en segundo plano, recopilando información confidencial sin el conocimiento de los usuarios.

La campaña se dirige específicamente a los usuarios de criptomonedas mediante tácticas de suplantación de identidad. Los atacantes se centran en aplicaciones de trading y monederos electrónicos populares. Los usuarios que buscan herramientas legítimas para criptomonedas fueron los más vulnerables.

Los investigadores de Check Point describen la evasión de detección como altamente efectiva. El software de seguridad tradicional tiene dificultades paradentamenazas con estos métodos. La combinación de interfaces de apariencia legítima y malware oculto crea escenarios peligrosos.

El malware recopila datos relacionados con las criptomonedas ydentde usuario de formamatic

El objetivo principal de este malware es recopilar información confidencial de los dispositivos infectados. Los atacantes obtienen datos para acceder a cuentas de criptomonedas y robar activos digitales. La recopilación de información se realiza automáticamentematicsin necesidad de interacción ni conocimiento por parte del usuario.

JSCEAL captura las entradas del teclado, revelando contraseñas ydentde autenticación en diversas aplicaciones. La función de keylogging registra todo lo que los usuarios escriben, incluidas las contraseñas de las billeteras de criptomonedas. También buscan información de cuentas de Telegram para un posible robo de cuentas.

También recopilan cookies del navegador que muestran los sitios web y preferencias más visitados por las víctimas. Las contraseñas de autocompletado almacenadas en los navegadores también son accesibles para los cibercriminales.