Los investigadores de ciberseguridad están llamando la atención sobre una campaña en curso que distribuye aplicaciones de comercio de criptomonedas falsas para implementar un malware compilado V8 JavaScript (JSC) llamado Tú que pueden capturar datos de credenciales y billeteras.
La actividad aprovecha miles de anuncios maliciosos publicados en Facebook en un intento de redirigir a las víctimas desprevenidas para falsificar sitios que les indiquen que instalaran las aplicaciones falsas, según Check Point. Estos anuncios se comparten a través de cuentas robadas o recién creadas.
«Los actores separan la funcionalidad del instalador en diferentes componentes y, sobre todo, mueven cierta funcionalidad a los archivos JavaScript interiormente de los sitios web infectados», dijo la compañía en un observación. «Un flujo modular de infección de múltiples capas permite a los atacantes adaptar nuevas tácticas y cargas enseres en cada etapa de la operación».
Vale la pena señalar que algunos aspectos de la actividad fueron documentados previamente por Microsoft en abril de 2025 y con una seguridad tan recientemente como este mes, con este extremo rastreándolo como Weevilproxy. Según el proveedor de seguridad finlandés, la campaña ha estado activa desde marzo de 2024.
Se ha incompatible que las cadenas de ataque adoptan nuevos mecanismos anti-análisis que dependen de las huellas digitales basadas en script, ayer de entregar la carga útil JSC final.
«Los actores de amenaza implementaron un mecanismo único que requiere que tanto el sitio astuto como el instalador se ejecuten en paralelo para una ejecución exitosa, lo que complica significativamente los esfuerzos de observación y detección», señaló la compañía de seguridad cibernética israelí.
Al hacer clic en el enlace en los anuncios de Facebook, desencadena una dependencia de redirección, llevando a la víctima a una página de destino falsa que imita un servicio legal como TradingView o un sitio web de señuelo, si la dirección IP del objetivo no está interiormente de un rango deseado o el referente no es Facebook.
El sitio web además incluye un archivo de JavaScript que intenta comunicarse con un servidor localhost en el puerto 30303, adicionalmente de meter otros dos scripts de JavaScript que son responsables de rastrear el proceso de instalación e iniciar solicitudes postales que manejan los componentes interiormente del instalador MSI.
Para su parte, el archivo del instalador descargado del sitio desempaca una serie de bibliotecas DLL, al tiempo que inicia a los oyentes HTTP en Localhost: 30303 para procesar solicitudes de publicación entrantes desde el sitio imitado. Esta interdependencia además significa que la dependencia de infección no avanza aún más si alguno de estos componentes no funciona.
«Para certificar que la víctima no sospeche de actividad anormal, el instalador abre una visión web que usa msedge_proxy.exe para dirigir a la víctima al sitio web legal de la aplicación», dijo Check Point.
Los módulos DLL están diseñados para analizar las solicitudes de publicación del sitio web y resumir información del sistema y comenzar el proceso de huellas dactilares, posteriormente de lo cual la información capturada se exfila al atacante en forma de un archivo JSON por medio de una puerta trasera de PowerShell.
Si el hospedador de la víctima se considera valioso, la dependencia de infección se mueve a la etapa final, lo que lleva a la ejecución del malware JSteal aprovechando Node.js.
El malware, adicionalmente de establecer conexiones con un servidor remoto para percibir más instrucciones, establece un proxy recinto con el objetivo de interceptar el tráfico web de la víctima e inyectar scripts maliciosos en banca, criptomonedas y otros sitios web confidenciales para robar sus credenciales en tiempo vivo.
Otras funciones de JSCeal incluyen la resumen de información del sistema, cookies de navegador, contraseñas de relleno maquinal, datos de cuentas de telegrama, capturas de pantalla, pulsaciones de teclas, así como la realización de ataques adversarios en el medio (AITM) y billeteras de criptomonedas de manipulación. Incluso puede ejecutar como un troyano de acercamiento remoto.
«Esta sofisticada cuarto de malware está diseñada para obtener un control invariable de la máquina de víctimas, mientras que es resistente a las herramientas de seguridad convencionales», dijo Check Point. «La combinación de código compilado y una pesada ofuscación, al tiempo que muestra una amplia variedad de funcionalidades, hizo que los esfuerzos de observación desafien y llevara mucho tiempo».
«El uso de archivos JSC permite a los atacantes ocultar de forma simple y efectiva su código, ayudándolo a escamotear los mecanismos de seguridad y dificultar la analización».
