Los investigadores de ciberseguridad están llamando la atención sobre una campaña en curso que distribuye aplicaciones de comercio de criptomonedas falsas para implementar un malware compilado V8 JavaScript (JSC) llamado Tú que pueden capturar datos de credenciales y billeteras.
La actividad aprovecha miles de anuncios maliciosos publicados en Facebook en un intento de redirigir a las víctimas desprevenidas para falsificar sitios que les indiquen que instalaran las aplicaciones falsas, según Check Point. Estos anuncios se comparten a través de cuentas robadas o recién creadas.
«Los actores separan la funcionalidad del instalador en diferentes componentes y, sobre todo, mueven cierta funcionalidad a los archivos JavaScript dentro de los sitios web infectados», dijo la compañía en un análisis. «Un flujo modular de infección de múltiples capas permite a los atacantes adaptar nuevas tácticas y cargas útiles en cada etapa de la operación».
Vale la pena señalar que algunos aspectos de la actividad fueron documentados previamente por Microsoft en abril de 2025 y con una seguridad tan recientemente como este mes, con este último rastreándolo como Weevilproxy. Según el proveedor de seguridad finlandés, la campaña ha estado activa desde marzo de 2024.
Se ha encontrado que las cadenas de ataque adoptan nuevos mecanismos anti-análisis que dependen de las huellas digitales basadas en script, antes de entregar la carga útil JSC final.
«Los actores de amenaza implementaron un mecanismo único que requiere que tanto el sitio malicioso como el instalador se ejecuten en paralelo para una ejecución exitosa, lo que complica significativamente los esfuerzos de análisis y detección», señaló la compañía de seguridad cibernética israelí.
Al hacer clic en el enlace en los anuncios de Facebook, desencadena una cadena de redirección, llevando a la víctima a una página de destino falsa que imita un servicio legítimo como TradingView o un sitio web de señuelo, si la dirección IP del objetivo no está dentro de un rango deseado o el referente no es Facebook.
El sitio web también incluye un archivo de JavaScript que intenta comunicarse con un servidor localhost en el puerto 30303, además de alojar otros dos scripts de JavaScript que son responsables de rastrear el proceso de instalación e iniciar solicitudes postales que manejan los componentes dentro del instalador MSI.
Para su parte, el archivo del instalador descargado del sitio desempaca una serie de bibliotecas DLL, al tiempo que inicia a los oyentes HTTP en Localhost: 30303 para procesar solicitudes de publicación entrantes desde el sitio falso. Esta interdependencia también significa que la cadena de infección no avanza aún más si alguno de estos componentes no funciona.
«Para garantizar que la víctima no sospeche de actividad anormal, el instalador abre una visión web que usa msedge_proxy.exe para dirigir a la víctima al sitio web legítimo de la aplicación», dijo Check Point.
Los módulos DLL están diseñados para analizar las solicitudes de publicación del sitio web y recopilar información del sistema y comenzar el proceso de huellas dactilares, después de lo cual la información capturada se exfila al atacante en forma de un archivo JSON por medio de una puerta trasera de PowerShell.
Si el anfitrión de la víctima se considera valioso, la cadena de infección se mueve a la etapa final, lo que lleva a la ejecución del malware JSteal aprovechando Node.js.
El malware, además de establecer conexiones con un servidor remoto para recibir más instrucciones, establece un proxy local con el objetivo de interceptar el tráfico web de la víctima e inyectar scripts maliciosos en banca, criptomonedas y otros sitios web confidenciales para robar sus credenciales en tiempo real.
Otras funciones de JSCeal incluyen la recopilación de información del sistema, cookies de navegador, contraseñas de relleno automático, datos de cuentas de telegrama, capturas de pantalla, pulsaciones de teclas, así como la realización de ataques adversarios en el medio (AITM) y billeteras de criptomonedas de manipulación. También puede actuar como un troyano de acceso remoto.
«Esta sofisticada pieza de malware está diseñada para obtener un control absoluto de la máquina de víctimas, mientras que es resistente a las herramientas de seguridad convencionales», dijo Check Point. «La combinación de código compilado y una pesada ofuscación, al tiempo que muestra una amplia variedad de funcionalidades, hizo que los esfuerzos de análisis desafien y llevara mucho tiempo».
«El uso de archivos JSC permite a los atacantes ocultar de manera simple y efectiva su código, ayudándolo a evadir los mecanismos de seguridad y dificultar la analización».