Investigadores de ciberseguridad han detectado una sofisticada campaña maliciosa que utiliza anuncios falsos en Facebook para distribuir aplicaciones de trading de criptomonedas fraudulentas. El objetivo: infectar a las víctimas con un potente malware JavaScript compilado conocido como JSCEAL, capaz de robar credenciales, monederos y tomar el control total del sistema.
Según el informe de Check Point, los atacantes publican miles de anuncios engañosos a través de cuentas robadas o recién creadas. Al hacer clic en los anuncios, las víctimas son redirigidas a páginas web que imitan servicios legítimos, como TradingView, donde se les indica que instalen una aplicación falsa.
Un ataque difícil de analizar y detectar
La infección se realiza mediante un complejo flujo en el que el sitio web y el instalador deben ejecutarse simultáneamente. El archivo MSI descargado incluye librerías DLL que se comunican con el sitio malicioso a través del puerto local 30303, mientras que el instalador abre una webview con msedge_proxy.exe para mostrar al usuario una página legítima y evitar sospechas.
Los componentes DLL recogen información del sistema, cookies del navegador, contraseñas guardadas, datos de Telegram, capturas de pantalla, pulsaciones de teclas, y más. Todo esto se envía al atacante en un archivo JSON utilizando un backdoor en PowerShell. Si el sistema es considerado de interés, se ejecuta la última fase: la instalación del malware JSCEAL mediante Node.js.
Funcionalidades avanzadas y robo de criptomonedas
Una vez activado, JSCEAL establece comunicación con servidores remotos, configura un proxy local e inyecta scripts maliciosos en páginas bancarias y de criptomonedas en tiempo real, robando credenciales al instante. También permite realizar ataques adversario-en-el-medio (AitM) y manipular carteras digitales.
El uso de archivos JavaScript compilados (JSC) le permite ocultarse con facilidad, dificultando enormemente su análisis y detección.
Campaña activa desde 2024
La campaña ha estado activa al menos desde marzo de 2024, según la firma finlandesa WithSecure, que la ha rastreado bajo el nombre de WEEVILPROXY. Microsoft también documentó partes del ataque en abril de 2025.
Fuente: https://thehackernews.com/
