Campaña de malware en Node.js ataca a usuarios de criptomonedas mediante instaladores falsos de Binance y TradingView
Publicado enAtaques

Campaña de malware en Node.js ataca a usuarios de criptomonedas mediante instaladores falsos de Binance y TradingView

No hay comentarios

Malvertising con Node.js: Campaña de malware dirigida a usuarios de criptomonedas

Microsoft ha alertado sobre una campaña de malvertising activa que utiliza Node.js para distribuir cargas maliciosas diseñadas para robar información y exfiltrar datos. Esta actividad, detectada inicialmente en octubre de 2024, emplea señuelos relacionados con el trading de criptomonedas para engañar a los usuarios.

Mecanismo de ataque

Los actores de amenazas detrás de esta campaña crean sitios web fraudulentos que imitan plataformas legítimas como Binance. Estos sitios ofrecen instaladores falsos que, al ser ejecutados, despliegan payloads maliciosos. El uso de Node.js como parte de la cadena de ataque es particularmente notable, ya que permite:

  • Ejecución de scripts multiplataforma
  • Facilidad para evadir detección mediante técnicas de ofuscación
  • Capacidad para integrarse con diversas APIs del sistema

Capacidades del malware

Según los análisis realizados, el malware distribuido en esta campaña posee múltiples funcionalidades peligrosas:

  • Robo de credenciales almacenadas en navegadores
  • Captura de información de billeteras de criptomonedas
  • Exfiltración de documentos sensibles
  • Posibilidad de descargar módulos adicionales

Técnicas de evasión

Los atacantes implementan varias estrategias para evitar la detección:

  • Uso de certificados digitales robados o falsificados
  • Ofuscación del código JavaScript mediante herramientas como obfuscator.io
  • Distribución a través de redes publicitarias legítimas (malvertising)

Recomendaciones de mitigación

Para protegerse contra este tipo de amenazas, se recomienda:

  • Descargar software únicamente de fuentes oficiales verificadas
  • Implementar soluciones EDR (Endpoint Detection and Response)
  • Restringir permisos de ejecución para scripts Node.js en entornos corporativos
  • Monitorizar conexiones salientes inusuales desde equipos de usuarios

Esta campaña demuestra la creciente sofisticación de los ataques dirigidos al ecosistema de criptomonedas, donde los atacantes combinan técnicas de ingeniería social con herramientas de desarrollo legítimas para maximizar su impacto. Fuente original

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta