Malware que se hace pasar por importantes empresas de criptomonedas tiene como objetivo a más de 10 millones de personas en todo el mundo

La empresa de seguridad Check Point advierte sobre un malware llamado JSCEAL que se ha estado haciendo pasar por plataformas de criptomonedas para atraer a millones de víctimas y robar datos relacionados con criptomonedas. ¿Cómo funciona? En una reciente publicación de blog, Check Point Research notificó a los operadores de criptomonedas sobre una amenaza bastante novedosa en línea que se dirige específicamente a datos relacionados con criptomonedas al hacerse pasar por aproximadamente 50 plataformas de criptomonedas, incluyendo Binance, MetaMask, eToro, DEX Screener, Monero, Kraken y muchas más. El malware llamado JSCEAL ha estado activo desde marzo de 2024, con actividad limitada, pero ha evolucionado hasta convertirse en una operación más compleja. "En la fase más reciente de la campaña, los actores de amenazas adquirieron una gran cantidad de dominios y adoptaron técnicas distintivas para evadir la detección, incluyendo a veces evitar el despliegue de la carga útil final", escribió la empresa de seguridad. La campaña de software malicioso produce anuncios de empresas de criptomonedas para atraer a las víctimas. Cuando hacen clic en los anuncios, son dirigidos a "sitios web señuelo" que los dirigen a instalar aplicaciones falsas, creyendo que son las plataformas de criptomonedas reales utilizadas para el comercio. Mientras tanto, los actores maliciosos se infiltran en el sistema de la víctima y roban sus datos relacionados con criptomonedas. "Durante la primera mitad de 2025, los actores de amenazas promocionaron alrededor de 35.000 anuncios maliciosos, lo que generó unos pocos millones de visitas solo en la UE", escribió Check Point en su blogpost. Según las estimaciones de la empresa de seguridad, cada anuncio pudo llegar al menos a 100 usuarios en la Unión Europea. Eso significa que con 35.000 anuncios, los hackers pudieron llegar a 3.5 millones de usuarios solo dentro de la UE. Mientras tanto, la empresa no ha contabilizado a los usuarios fuera de la UE. Considerando que la base de usuarios de redes sociales en todo el mundo es mucho mayor que la de la UE, la empresa de seguridad concluye que "el alcance global podría superar fácilmente los 10 millones [de personas]". Según la publicación del blog, la última versión de la campaña de malware despliega lo que se denomina "métodos únicos contra la evasión", lo que dificulta su detección. Al utilizar un sitio web falso que los dirige a instalar el malware directamente en sus dispositivos, la empresa de seguridad dijo que el método de doble capa "complica significativamente los esfuerzos de análisis y detección". JSCEAL utiliza el lenguaje de programación JavaScript, así como lo que la empresa de seguridad considera una "combinación de código compilado y ofuscación pesada". De esta manera, la víctima no necesita activar el código para que se ejecute. Además, el propósito principal de la campaña es robar información del dispositivo infestado y enviarla al servidor principal del hacker. Según el análisis de la empresa, los atacantes recopilan "información extensa de la máquina", que incluye la ubicación, las contraseñas de autocompletar, los detalles de la red, la información del correo electrónico y la configuración del proxy. Además, si los atacantes consideran que la víctima es valiosa, agregarán un código adicional que puede descargar y ejecutar la "carga útil final" para robar más datos y posiblemente borrar cualquier rastro del malware del sistema de la víctima. Sin embargo, los usuarios aún pueden usar software antimalware para detectar ejecuciones maliciosas y detener los ataques en curso en dispositivos ya infectados. [Check Point]