Foto: Max Acronym/ Shutterstock
El 29 de julio de 2025, Check Point Research publicó un informe sobre un nuevo virus dirigido principalmente a los usuarios de criptomonedas.
¿De qué virus se trata y a qué debemos prestar atención?
¿Cómo funciona el virus?
El virus, llamado JSCEAL, fue detectado por una herramienta de análisis de archivos JavaScript compilados (JSC). Este virus lleva activo desde marzo de 2024 y ha infectado a unos 10 millones de usuarios.
Una campaña publicitaria replicaba conocidas aplicaciones de comercio de criptomonedas. En realidad, este virus ha evolucionado desde su aparición.
La última versión desactiva las herramientas de análisis de tu ordenador descargando programas que se encargan de ello. Los sitios web falsos muestran anuncios falsos que, si haces clic en ellos, instalan el virus en tu ordenador. A partir de ese momento, se termina un script que acaba ejecutando la amenaza JSC.
Dado que transcurre tiempo entre la infección y la ejecución, esta infección suele pasar desapercibida. Muchas de estas amenazas ya se conocen por el libro blanco de la campaña de malware llamada WeevilProxy.
JSCEAL ha causado infecciones generalizadas y está técnicamente bien elaborado. La campaña publicitaria ha recibido millones de visitas.
Tres «fases» del criptovirus
La versión actual del virus consta de tres etapas. La primera es el despliegue inicial, seguida de un script para su perfil y, por último, la carga útil final JSC, que es la que hace el daño. Las dos primeras etapas evolucionan constantemente.
La primera etapa muestra anuncios que instan a descargar un instalador malicioso desde el sitio web de un atacante. A través de anuncios pagados en redes sociales y cuentas robadas o nuevas, se muestran anuncios de empresas de la industria criptográfica conocidas y de apariencia válida.
En función de su dirección IP, se le envía a un peligroso sitio web falso o a un inofensivo sitio web de desvío.
Si se encuentra en su objetivo, se le mostrará un sitio web que se parece exactamente a la aplicación de grandes empresas, como de TradingView, Kraken, Binance y MetaMask. Si haces clic en descargar allí, entonces el instalador de MSI aparecerá en tu sitio web y estarás infectado. A partir de ese momento, su criptomoneda está en peligro. Al redirigir, incluso se llega a ver el sitio web oficial de TradingView, por ejemplo, para que no te des cuenta de nada.
Lo primero que hacen los atacantes cuando se infectan es ver si eres una víctima interesante. Para ello, revisan todo tu ordenador, como tus correos electrónicos, el software que tienes instalado, las cookies, etc. Además, este virus tiene registradores de entrada de teclado, que pueden hacer una grabación de lo que escribes, lo que les permite obtener tus contraseñas.
La mejor cura para este virus es un antimalware que pueda detectar y detener la ejecución de JavaScript malicioso.
