Check Point® Software Technologies Ltd., pionero y líder global en soluciones de ciberseguridad, ha identificado una sofisticada campaña maliciosa denominada JSCEAL, que representa una seria amenaza para los usuarios de aplicaciones de criptomonedas. La campaña se apoya en anuncios fraudulentos y en falsos instaladores para distribuir un malware diseñado específicamente para robar credenciales, monederos digitales y otros datos sensibles vinculados al entorno cripto.

Ataques dirigidos a través de publicidad maliciosa

Desde marzo de 2024, JSCEAL se ha enfocado en suplantar a aplicaciones de intercambio de criptomonedas ampliamente reconocidas. Para ello, los ciberdelincuentes utilizan anuncios de pago en redes sociales, que redirigen a las víctimas a páginas web falsas donde se les incita a descargar instaladores maliciosos en formato MSI. Con más de 35.000 anuncios maliciosos publicados entre enero y junio de 2025, ha alcanzado una audiencia estimada de 3,5 millones de usuarios, una cifra que podría superar los 10 millones a nivel global.

Una cadena de infección de múltiples capas

La infección se desarrolla en tres fases:

1. Despliegue inicial: el usuario accede a un anuncio falso que simula pertenecer a una plataforma financiera legítima. Al hacer clic, es redirigido por varias capas hasta llegar a una página de descarga fraudulenta.
2. Ejecución de scripts de perfilado: al instalar el archivo MSI, se activa un conjunto de scripts diseñados para recopilar información crítica del sistema (configuración, software instalado, datos del dispositivo). Estos scripts, ejecutados mediante PowerShell, exfiltran los datos necesarios para preparar el terreno al siguiente paso.
3. Carga útil final en JSC: se introduce entonces el malware JSCEAL, desarrollado con archivos JavaScript compilados (JSC) y ejecutado a través de Node.js. Esta combinación permite sortear eficazmente las soluciones de seguridad convencionales. El objetivo: acceder a credenciales de acceso, datos de autenticación y monederos de criptomonedas.

Técnica avanzada y estructura modular

Uno de los aspectos más preocupantes de JSCEAL es el uso de archivos JavaScript compilados mediante el motor V8 de Google. Esta técnica, poco habitual hasta ahora en campañas maliciosas, permite al malware permanecer oculto ante las soluciones de seguridad tradicionales o el análisis estático. Además, su arquitectura modular facilita a los atacantes modificar y actualizar sus cargas útiles, adaptándose a nuevos entornos y esquivando las barreras de defensa habituales.

Una amenaza creciente en el panorama global

Múltiples variantes de JSCEAL continúan operando sin ser detectadas por numerosas herramientas de seguridad del mercado. Esta persistencia, combinada con su complejidad técnica, convierte a JSCEAL en una amenaza de primer orden para los usuarios de activos digitales.

Para mitigar el impacto de campañas como JSCEAL, Check Point Software recomienda el uso de soluciones avanzadas como Threat Emulation y Harmony Endpoint, capaces de detectar y bloquear tanto este tipo de amenazas como sus posibles evoluciones.