El ecosistema de amenazas para Windows tiene un nuevo depredador. Investigadores de ciberseguridad han identificado una cepa de malware emergente llamada JSCeal. Se trata de un Infostealer (ladrón de información) que se distingue por su astuto método de ocultación.
¿Qué hace diferente a JSCeal?
Tradicionalmente, asociamos los virus con archivos ejecutables (.exe). Sin embargo, JSCeal apuesta por JavaScript. No nos referimos al JavaScript que se ejecuta en las páginas web, sino a scripts maliciosos (.js o .jse) que se ejecutan directamente en el sistema operativo Windows a través del proceso nativo Windows Script Host (WSH).
El Modus Operandi
- Infección: Llega comúnmente a través de correos de phishing o descargas falsas, disfrazado de documento o instalador.
- Ofuscación Pesada: El código del virus está escrito de forma caótica y encriptada (“ofuscado”) para que, si un analista o un antivirus intenta leerlo, solo vea basura ininteligible.
- Ejecución: Una vez abierto, el script contacta con su servidor de control (C2), descarga componentes adicionales y comienza la “cosecha”.
- El Robo: JSCeal busca específicamente:
- Contraseñas guardadas en navegadores (Chrome, Edge, Firefox).
- Cookies de sesión (para entrar a tus redes sociales o correo sin contraseña).
- Archivos de billeteras de criptomonedas.
La amenaza de los archivos de texto
Para un antivirus tradicional, analizar un archivo .exe es rutina. Pero un archivo .js es, en esencia, un archivo de texto plano. Los atacantes pueden cambiar una sola letra en el código y la “firma” del virus cambia por completo, haciendo que sea muy difícil de detectar para las soluciones de seguridad antiguas. JSCeal aprovecha herramientas legítimas de Windows (como wscript.exe) para funcionar, una técnica conocida como “Living off the Land” (Vivir de la tierra).
AMSI: La línea de defensa
Afortunadamente, Windows 10 y 11 cuentan con AMSI (Antimalware Scan Interface). Esta tecnología permite que el antivirus inspeccione lo que el script intenta hacer en la memoria, no solo cómo se ve el archivo en el disco. Consejo: Asegúrate de que tu antivirus sea compatible con AMSI (Windows Defender lo es por defecto) y no lo desactives nunca.
¿Cómo protegerse?
- Puedes configurar Windows para que, por defecto, los archivos .js se abran con el “Bloc de Notas” en lugar de ejecutarse. Esto neutraliza la amenaza: si haces doble clic por error en el virus, simplemente verás el código en texto en lugar de infectarte.
