Se estima que 10 millones de personas en todo el mundo han estado expuestas a anuncios en línea que promocionan aplicaciones falsas de criptomonedas con malware, advierte la firma de ciberseguridad; Check Point.
Check Point Research dijo el martes que había estado rastreando una campaña de malware que denominó “JSCEAL” y que tiene como objetivo a los usuarios de criptomonedas al hacerse pasar por aplicaciones comunes de trading de criptomonedas.
La campaña ha estado activa desde al menos marzo de 2024 y ha “evolucionado gradualmente con el tiempo”, añadió la compañía. Utiliza anuncios para engañar a las víctimas para que instalen aplicaciones falsas que “suplantan a casi 50 aplicaciones comunes de trading de criptomonedas”, incluyendo Binance, MetaMask y Kraken.
Los usuarios de criptomonedas son un objetivo clave de varias campañas maliciosas, puesto que las víctimas de robo de criptomonedas tienen pocas vías para recuperar sus fondos, y las blockchains anonimizan a los malos actores, lo que dificulta descubrir a quienes están detrás de los esquemas.
Se estima que 10 millones son objetivo de anuncios maliciosos
Check Point dijo que las herramientas publicitarias de Meta mostraron que se promocionaron 35.000 anuncios maliciosos en la primera mitad de 2025, lo que generó “unos pocos millones de vistas solo en la UE”.
La firma estimó que al menos 3,5 millones estuvieron expuestos a las campañas publicitarias dentro de la UE, pero también “suplantaron a instituciones financieras y de criptomonedas asiáticas” — regiones con un número comparativamente mayor de usuarios de redes sociales.
“El alcance global podría superar fácilmente los 10 millones”, dijo Check Point.
La firma señaló que es típicamente imposible determinar el alcance completo de una campaña de malware y que el alcance publicitario "no equivale al número de víctimas".
El malware utiliza "métodos únicos anti-evasión"
La última iteración de la campaña de malware utiliza "métodos únicos anti-evasión", lo que resultó en "tasas de detección extremadamente bajas" y le permitió pasar desapercibido durante tanto tiempo, según Check Point.
Las víctimas que hacen clic en un anuncio malicioso son dirigidas a un sitio que parece legítimo, pero es falso para descargar el malware, y el sitio web del atacante y el software de instalación se ejecutan simultáneamente, lo que, según Check Point, "complica significativamente los esfuerzos de análisis y detección", pues son difíciles de detectar de forma aislada.
La aplicación falsa abre un programa que dirige al sitio legítimo de la aplicación que una víctima cree haber descargado para engañarlos, pero en segundo plano, está recolectando "información sensible del usuario, principalmente relacionada con las criptomonedas".
El malware utiliza el popular lenguaje de programación JavaScript, que no necesita la entrada de la víctima para ejecutarse. Check Point afirmó que una "combinación de código compilado y fuerte ofuscación" hizo que su esfuerzo por analizar el malware fuera "desafiante y requiriera mucho tiempo".
Cuentas y contraseñas obtenidas en la red del malware
Check Point indicó que el propósito principal del malware es recopilar la mayor cantidad de información posible del dispositivo infectado para enviarla a un actor de amenazas y que este la utilice.
Parte de la información que los programas estaban recolectando eran las entradas del teclado del usuario, que pueden revelar contraseñas, junto con el robo de información de cuentas de Telegram y contraseñas de autocompletar.
El malware también recolecta cookies del navegador, que pueden mostrar qué sitios web visita una víctima con frecuencia, y puede manipular extensiones web relacionadas con las criptomonedas, como MetaMask.
Se indicó que un software anti-malware que detecte ejecuciones maliciosas de JavaScript sería "muy efectivo" para detener un ataque en un dispositivo ya infectado.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.