Hackers utilizan anuncios de Facebook para difundir el malware JSCEAL

Iniciado por AXCESS, Julio 31, 2025, 12:37:59 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Julio 31, 2025, 12:37:59 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad están alertando sobre una campaña en curso que distribuye apps falsas para el comercio de criptomonedas e implementa un malware compilado en JavaScript V8 (JSC) llamado JSCEAL, capaz de capturar datos de credenciales y monederos.

Según Check Point, esta actividad aprovecha miles de anuncios maliciosos publicados en Facebook para redirigir a víctimas desprevenidas a sitios web falsos que les indican que instalen las apps fraudulentas. Estos anuncios se comparten a través de cuentas robadas o de nuevas cuentas.

"Los actores separan la funcionalidad del instalador en diferentes componentes y, sobre todo, trasladan algunas funciones a los archivos JavaScript dentro de los sitios web infectados", declaró la compañía en un análisis. "Un flujo de infección modular y multicapa permite a los atacantes adaptar nuevas tácticas y cargas útiles en cada etapa de la operación".

Cabe destacar que algunos aspectos de la actividad fueron documentados previamente por Microsoft en abril de 2025 y por WithSecure este mismo mes, siendo este último el que la rastrea como WEEVILPROXY. Según el proveedor de seguridad finlandés, la campaña ha estado activa desde marzo de 2024.

Se ha descubierto que las cadenas de ataque adoptan novedosos mecanismos antianálisis que se basan en la identificación de huellas digitales basada en scripts, antes de entregar la carga útil JSC final.

"Los actores de la amenaza implementaron un mecanismo único que requiere que tanto el sitio malicioso como el instalador se ejecuten en paralelo para una ejecución exitosa, lo que complica significativamente los esfuerzos de análisis y detección", señaló la empresa israelí de ciberseguridad.

Al hacer clic en el enlace de los anuncios de Facebook, se activa una cadena de redirección que, en última instancia, lleva a la víctima a una página de destino falsa que imita un servicio legítimo como TradingView o un sitio web señuelo, si la dirección IP del objetivo no se encuentra dentro del rango deseado o el remitente no es Facebook.



El sitio web también incluye un archivo JavaScript que intenta comunicarse con un servidor local en el puerto 30303, además de alojar otros dos scripts JavaScript responsables de rastrear el proceso de instalación e iniciar solicitudes POST gestionadas por los componentes del instalador MSI.

Por su parte, el archivo de instalación descargado del sitio descomprime varias bibliotecas DLL, a la vez que inicia escuchas HTTP en localhost:30303 para procesar las solicitudes POST entrantes del sitio falso. Esta interdependencia también implica que la cadena de infección no puede continuar si alguno de estos componentes no funciona.

"Para garantizar que la víctima no sospeche de actividad anormal, el instalador abre una vista web usando msedge_proxy.exe para dirigirla al sitio web legítimo de la aplicación", declaró Check Point.

Los módulos DLL están diseñados para analizar las solicitudes POST del sitio web, recopilar información del sistema e iniciar el proceso de identificación. Tras ello, la información capturada se filtra al atacante en forma de archivo JSON mediante una puerta trasera de PowerShell.

Si el host víctima se considera valioso, la cadena de infección avanza a la etapa final, lo que lleva a la ejecución del malware JSCEAL mediante Node.js.

El malware, además de establecer conexiones con un servidor remoto para recibir instrucciones, configura un proxy local con el objetivo de interceptar el tráfico web de la víctima e inyectar scripts maliciosos en sitios web bancarios, de criptomonedas y otros sitios web sensibles para robar sus credenciales en tiempo real.

Otras funciones de JSCEAL incluyen la recopilación de información del sistema, cookies del navegador, el autocompletado de contraseñas, datos de cuentas de Telegram, capturas de pantalla y pulsaciones de teclas, así como la realización de ataques de adversario en el intermediario (AitM) y la manipulación de monederos de criptomonedas. También puede actuar como un troyano de acceso remoto.

"Este sofisticado malware está diseñado para obtener el control absoluto del equipo víctima, a la vez que es resistente a las herramientas de seguridad convencionales", declaró Check Point. "La combinación de código compilado y una ofuscación robusta, a la vez que muestra una amplia variedad de funcionalidades, dificultó y requirió mucho tiempo de análisis".

"El uso de archivos JSC permite a los atacantes ocultar su código de forma sencilla y eficaz, lo que le permite evadir los mecanismos de seguridad y dificultar su análisis".

Fuente:
TheHackerNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario