Los investigadores de ciberseguridad están llamando la atención sobre una campaña en curso que distribuye aplicaciones de comercio de criptomonedas falsas para implementar un malware compilado V8 JavaScript (JSC) llamado Ustedes que pueden capturar datos de credenciales y billeteras.
La actividad aprovecha miles de anuncios maliciosos publicados en Facebook en un intento de redirigir a las víctimas desprevenidas para falsificar sitios que les indiquen que instalaran las aplicaciones falsas, según Check Point. Estos anuncios se comparten a través de cuentas robadas o recién creadas.
“Los actores separan la funcionalidad del instalador en diferentes componentes y, sobre todo, mueven cierta funcionalidad a los archivos JavaScript interiormente de los sitios web infectados”, dijo la compañía en un disección. “Un flujo modular de infección de múltiples capas permite a los atacantes adaptar nuevas tácticas y cargas aperos en cada etapa de la operación”.
Vale la pena señalar que algunos aspectos de la actividad fueron documentados previamente por Microsoft en abril de 2025 y con una seguridad tan recientemente como este mes, con este zaguero rastreándolo como Weevilproxy. Según el proveedor de seguridad finlandés, la campaña ha estado activa desde marzo de 2024.
Se ha antagónico que las cadenas de ataque adoptan nuevos mecanismos anti-análisis que dependen de las huellas digitales basadas en script, antiguamente de entregar la carga útil JSC final.
“Los actores de amenaza implementaron un mecanismo único que requiere que tanto el sitio astuto como el instalador se ejecuten en paralelo para una ejecución exitosa, lo que complica significativamente los esfuerzos de disección y detección”, señaló la compañía de seguridad cibernética israelí.
Al hacer clic en el enlace en los anuncios de Facebook, desencadena una cautiverio de redirección, llevando a la víctima a una página de destino falsa que imita un servicio auténtico como TradingView o un sitio web de señuelo, si la dirección IP del objetivo no está interiormente de un rango deseado o el referente no es Facebook.
El sitio web asimismo incluye un archivo de JavaScript que intenta comunicarse con un servidor localhost en el puerto 30303, adicionalmente de penetrar otros dos scripts de JavaScript que son responsables de rastrear el proceso de instalación e iniciar solicitudes postales que manejan los componentes interiormente del instalador MSI.
Para su parte, el archivo del instalador descargado del sitio desempaca una serie de bibliotecas DLL, al tiempo que inicia a los oyentes HTTP en Localhost: 30303 para procesar solicitudes de publicación entrantes desde el sitio mentiroso. Esta interdependencia asimismo significa que la cautiverio de infección no avanza aún más si alguno de estos componentes no funciona.
“Para avalar que la víctima no sospeche de actividad anormal, el instalador abre una visión web que usa msedge_proxy.exe para dirigir a la víctima al sitio web auténtico de la aplicación”, dijo Check Point.
Los módulos DLL están diseñados para analizar las solicitudes de publicación del sitio web y resumir información del sistema y comenzar el proceso de huellas dactilares, luego de lo cual la información capturada se exfila al atacante en forma de un archivo JSON por medio de una puerta trasera de PowerShell.
Si el huésped de la víctima se considera valioso, la cautiverio de infección se mueve a la etapa final, lo que lleva a la ejecución del malware JSteal aprovechando Node.js.
El malware, adicionalmente de establecer conexiones con un servidor remoto para admitir más instrucciones, establece un proxy nave con el objetivo de interceptar el tráfico web de la víctima e inyectar scripts maliciosos en banca, criptomonedas y otros sitios web confidenciales para robar sus credenciales en tiempo efectivo.
Otras funciones de JSCeal incluyen la compendio de información del sistema, cookies de navegador, contraseñas de relleno obligatorio, datos de cuentas de telegrama, capturas de pantalla, pulsaciones de teclas, así como la realización de ataques adversarios en el medio (AITM) y billeteras de criptomonedas de manipulación. Todavía puede representar como un troyano de camino remoto.
“Esta sofisticada habitación de malware está diseñada para obtener un control total de la máquina de víctimas, mientras que es resistente a las herramientas de seguridad convencionales”, dijo Check Point. “La combinación de código compilado y una pesada ofuscación, al tiempo que muestra una amplia variedad de funcionalidades, hizo que los esfuerzos de disección desafien y llevara mucho tiempo”.
“El uso de archivos JSC permite a los atacantes ocultar de guisa simple y efectiva su código, ayudándolo a sortear los mecanismos de seguridad y dificultar la analización”.
