La amenaza de ciberseguridad que enfrenta el ecosistema cripto ha escalado de nivel. Esta vez, el foco está puesto en una nueva campaña de malvertising dirigida específicamente a traders de criptomonedas, según advirtió el equipo de inteligencia de Microsoft.
A través de anuncios falsos que simulan pertenecer a plataformas reconocidas como Binance y TradingView, los atacantes están distribuyendo instaladores infectados que comprometen el sistema desde el primer clic.
Microsoft alerta sobre nueva campaña de malvertising dirigida a traders de criptomonedas
Los archivos maliciosos, disfrazados de herramientas legítimas, se apoyan en un instalador construido con Wix que incluye una DLL manipulada. Una vez ejecutado, este archivo recoge datos básicos del sistema y crea una tarea programada difícil de detectar, asegurando su permanencia en el equipo comprometido.
La estrategia no termina ahí. Tras la instalación inicial, el malware lanza una ventana que simula un sitio auténtico de criptomonedas. Esto mientras por detrás se activa una cadena compleja de scripts de PowerShell.
Estos scripts excluyen procesos clave del escaneo de seguridad, lo que permite que el malware se ejecute sin ser detectado por Microsoft Defender. De forma continua, el sistema infectado recibe instrucciones desde servidores remotos y envía una gran cantidad de información recolectada.
Esta incluye datos del sistema operativo, detalles del BIOS, configuraciones de red, componentes del hardware y hasta credenciales almacenadas en navegadores.
Una vez establecida la comunicación con el servidor de comando y control, el siguiente paso de la operación es la descarga de un archivo comprimido que contiene el entorno de Node.js y otros módulos maliciosos.
El script manipula el registro de Windows para desactivar configuraciones de proxy y ejecuta un archivo JSC (JavaScript compilado). Mismo que en este caso representa la segunda etapa del ataque. Esta fase introduce nuevos riesgos: se agregan certificados, se establecen conexiones en red y se accede potencialmente a información sensible del navegador, incluyendo contraseñas.
De forma aún más sofisticada, algunos ataques recientes observados por Microsoft hacen uso de ejecución inline de scripts en Node.js. En lugar de guardar archivos en el disco, el malware corre directamente los comandos JavaScript desde el entorno de Node, facilitando aún más la evasión de los sistemas de defensa.
Un caso particular utilizó ingeniería social para hacer que los usuarios ejecutaran manualmente un comando malicioso, que descargaba e instalaba múltiples componentes, incluyendo node.exe, para ejecutar código JavaScript embebido en línea.
Malvertising y criptomonedas: así opera el malware oculto en falsas herramientas de trading
La campaña también se camufla como tráfico legítimo de Cloudflare, lo que complica su detección por parte de los equipos de seguridad. Además, los atacantes aseguran persistencia a través de modificaciones en claves del registro que permiten ejecutar el malware en cada reinicio del sistema.
Microsoft ha compartido una serie de recomendaciones para mitigar este tipo de ataques. Entre ellas se incluyen activar la protección basada en la nube de Microsoft Defender, registrar toda la actividad de PowerShell, bloquear scripts potencialmente ofuscados y restringir las conexiones salientes hacia dominios sospechosos.
También se sugiere activar funciones de protección contra manipulaciones. Asimismo se pueden configurar adecuadamente las políticas de ejecución de scripts y aplicar reglas de reducción de superficie de ataque en Microsoft Defender XDR.
Los usuarios y organizaciones que operan con criptomonedas deben extremar precauciones: no solo se enfrentan a la volatilidad del mercado, sino a un entorno digital cada vez más hostil, donde una descarga errónea puede comprometer toda su infraestructura.
Con un enfoque cada vez más profesionalizado, los atacantes están demostrando una comprensión profunda del entorno tecnológico y del comportamiento de sus víctimas, lo que hace urgente reforzar la higiene digital en todos los niveles.
Uphold
eToro
eToro
eToro
eToro
Plus500
Coinbase
Descargo de responsabilidad
Descargo de responsabilidad: en cumplimiento de las pautas de Trust Project, BeInCrypto se compromete a brindar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten con un profesional antes de tomar cualquier decisión basada en este contenido.
