¡La amenaza de malware JSCEAL apunta a los usuarios de criptomonedas!

SUSCRÍBETE Noticias

El mundo de las criptomonedas ha estado cada vez más en el punto de mira de los ciberdelincuentes últimamente. Una campaña de malware descubierta por Check Point, denominada "JSCEAL", ha afectado a más de 10 millones de usuarios en todo el mundo, lo que representa una amenaza significativa. Este ataque, propagado mediante anuncios engañosos que promocionan aplicaciones de criptomonedas falsas, se dirige especialmente a usuarios de Europa y Asia.

La campaña JSCEAL engaña a los usuarios haciéndose pasar por plataformas de criptomonedas populares como Binance, MetaMask y Kraken. Anuncios falsos en redes sociales y motores de búsqueda dirigen a los usuarios a sitios web fraudulentos que imitan los logotipos y diseños de marcas de confianza. Estos sitios incitan a los usuarios a descargar aplicaciones con malware. Aunque a primera vista estas aplicaciones parecen legítimas, en realidad están diseñadas para robar datos confidenciales como información de la billetera, contraseñas y claves privadas.

La característica más destacada de la campaña es su amplia distribución de anuncios, no solo en redes sociales, sino también en plataformas de confianza. Se estima que, en el primer semestre de 2025, más de 35 000 anuncios dañinos recibieron millones de visualizaciones solo en la Unión Europea. A nivel mundial, se estima que esta cifra superará los 10 millones.

JSCEAL destaca por su sofisticación técnica y su capacidad de sigilo. El ataque se desarrolla en tres fases principales:

Fase inicial: cadena de referencia

Cuando los usuarios hacen clic en anuncios falsos, son guiados a través de una serie de cadenas de redireccionamiento. Este proceso analiza la dirección IP y la información del navegador del objetivo para redirigir únicamente a ciertos usuarios a las páginas de descarga falsas. Esto dificulta la detección del ataque.

Fase de creación del perfil

Cuando un usuario descarga la aplicación falsa, el software ejecuta scripts de perfilación para recopilar información sobre el dispositivo. Estos scripts analizan la información del sistema, las aplicaciones instaladas y el comportamiento del usuario para determinar si el dispositivo es valioso.

Etapa final: Instalación de la carga dañina

Si el dispositivo cumple los criterios del objetivo, el malware JSCEAL se ejecuta a través de la plataforma Node.js. Este malware roba información de la billetera, cookies del navegador, contraseñas de autocompletado e incluso datos de sesión de aplicaciones como Telegram. También puede manipular extensiones de billeteras de criptomonedas como MetaMask para redirigir transacciones a las billeteras de los atacantes.

Uno de los aspectos más peligrosos de JSCEAL es su capacidad para eludir el software de seguridad tradicional. Mediante archivos JavaScript compilados (JSC) y técnicas de ofuscación de código, el malware evade la mayoría de los programas antivirus. Además, gracias a su cadena de infección multicapa, cada componente parece inofensivo al analizarse individualmente. Sin embargo, al combinarse, obtiene el control total de los dispositivos de los usuarios.

El malware puede robar contraseñas grabando la actividad del teclado, secuestrar sesiones de navegación e incluso recopilar información confidencial mediante capturas de pantalla. En algunos casos, utiliza tácticas de ingeniería social, como campañas de airdrop falsas o alertas de actualización de billetera, para incitar a los usuarios a compartir sus claves privadas.

La campaña es especialmente eficaz en Europa y Asia. Se estima que 3,5 millones de usuarios en la Unión Europea han estado expuestos a estos anuncios falsos, mientras que el alto uso de las redes sociales y la popularidad de las criptomonedas en Asia convierten a la región en un objetivo prioritario. Sin embargo, el alcance global de la campaña también implica que los usuarios de Norteamérica y otras regiones están en riesgo.

Los atacantes han creado una infraestructura flexible con más de 560 dominios únicos. Si bien solo se sabe que el 15% de estos dominios están activos, la posibilidad de que la campaña se expanda genera preocupación. Los anuncios falsos suelen estar asociados a dominios que contienen términos como "aplicación", "descarga" o "escritorio".

Para protegerse contra estas sofisticadas amenazas, los usuarios deben estar alerta. A continuación, se presentan algunas precauciones contra JSCEAL y campañas similares:

Verifica las fuentes de las apps: Descarga apps de criptomonedas solo desde las tiendas de apps oficiales (App Store, Google Play) o los sitios web oficiales de las plataformas. No olvides consultar la información del desarrollador.

Tenga cuidado con los anuncios: evite hacer clic en anuncios de fuentes desconocidas, especialmente aquellos que prometen tokens gratuitos o actualizaciones inmediatas de la billetera.

Mantenga actualizado su software de seguridad: Utilice herramientas avanzadas de prevención de amenazas que puedan realizar análisis de comportamiento. Los antivirus tradicionales pueden ser insuficientes para detectar este tipo de amenazas.

Utilice billeteras de hardware: las billeteras de hardware, que almacenan sus datos confidenciales y claves privadas fuera de línea, brindan protección adicional contra este tipo de ataques.

Autenticación de dos factores: habilite la autenticación de dos factores (2FA) en todas sus cuentas de criptomonedas y utilice claves de seguridad físicas cuando sea posible.

Síguenos : Te ofrecemos noticias precisas y actualizadas del mundo de las criptomonedas. No olvides seguirnos en X :)

La campaña de malware JSCEAL es una seria advertencia para los usuarios de criptomonedas. Dirigido a millones de personas, este ataque explota la reputación de plataformas confiables con anuncios falsos y técnicas sofisticadas. La defensa más efectiva contra estas amenazas es que los usuarios sean cautelosos, utilicen fuentes oficiales y refuercen sus medidas de seguridad. Recuerden ir siempre un paso por delante para proteger su seguridad en el mundo de las criptomonedas. Haga clic aquí para leer nuestras últimas noticias.