Brasil enfrenta un rápido aumento de malware en WhatsApp
Brasil enfrenta una campaña de malware de rápida expansión que utiliza WhatsApp para infiltrarse en dispositivos y propagarse a través de contactos de confianza. Analistas de seguridad informan de una operación coordinada que combina ingeniería social, propagación automatizada y un troyano sofisticado capaz de robar datos bancarios y de criptomonedas. El público objetivo incluye profesionales de la ciberseguridad, analistas de políticas y lectores que siguen las tendencias de amenazas digitales en América Latina.
Los investigadores señalan que la campaña se aprovecha de la comunicación cotidiana. Las víctimas reciben un mensaje de WhatsApp con un archivo ZIP o un acceso directo disfrazado de documento común como un recibo, una nota médica o un formulario administrativo. Al abrirlo, un script oculto se activa y toma el control de la sesión de WhatsApp Web del usuario. El mismo archivo malicioso se envía automáticamente a todos los contactos. El proceso convierte a cada usuario infectado en un nuevo punto de distribución, lo que genera una reacción en cadena que avanza por redes privadas y profesionales.
Los investigadores describen un sistema de dos capas. Un módulo en Python gestiona la propagación automatizada a través de WhatsApp Web. Un instalador MSI despliega la segunda etapa llamada Eternidade Stealer. Este componente recopila datos personales y otorga a los operadores remotos un control amplio del dispositivo. Los atacantes ajustan comandos, actualizan plantillas y descargan listas de contactos mediante un servidor de comando y control.
La campaña refleja una tendencia más amplia observada en Brasil. Familias similares como Maverick, Coyote y Sorvepotel han utilizado recientemente técnicas de manipulación de WhatsApp Web y del navegador para atacar a usuarios locales.
Un troyano diseñado para el robo financiero
La segunda carga útil activa funciones de robo bancario y de criptomonedas. Extrae contraseñas, cookies, códigos de autenticación y datos sensibles de navegación. Puede ejecutar inyecciones web para interferir con la banca en línea y busca frases de recuperación vinculadas a billeteras de criptomonedas o extensiones del navegador. Los atacantes buscan vaciar cuentas bancarias durante los inicios de sesión y apoderarse de activos digitales cuando aparece una solicitud de firma.
Los investigadores señalan que muchas víctimas detectan el ataque después de perder dinero. El esquema aprovecha hábitos digitales comunes mientras los usuarios alternan entre navegadores de escritorio, teléfonos móviles y extensiones sin reconocer el riesgo. Los atacantes refuerzan el engaño con plantillas que imitan mensajes de entregas o avisos oficiales.
Las señales de alerta incluyen envíos inesperados de archivos desde WhatsApp, lentitud del navegador, ventanas emergentes inusuales, alertas de antivirus sobre scripts PowerShell o VBS y extensiones desconocidas. Los especialistas recomiendan desconectar WhatsApp Web en cuanto aparezca cualquier comportamiento sospechoso, cambiar contraseñas bancarias y de criptomonedas desde un dispositivo seguro, revocar sesiones activas de billeteras y restaurar sistemas desde copias limpias si es necesario.
Los investigadores destacan que la campaña avanza rápido. Una reacción temprana puede marcar la diferencia entre un susto menor y pérdidas financieras graves.
-
16:26
-
16:00
-
15:40
-
15:18
-
15:00
-
14:40
-
14:20
-
13:57
-
13:40
-
13:20
-
12:58
-
12:45
-
12:30
-
12:15
-
12:00
-
11:45
-
11:30
-
11:20
-
11:15
-
11:00
-
11:00
-
10:45
-
10:41
-
10:30
-
10:20
-
10:15
-
10:01
-
10:00
-
09:45
-
09:40
-
09:30
-
09:16
-
09:15
-
09:00
-
09:00
-
08:45
-
08:38
-
08:30
-
08:20
-
08:15
-
08:00
-
07:57
-
07:45
-
07:38
-
07:30
-
07:18
-
07:15
-
07:03
-
07:01
