Alerta en Brasil: Malware avanzado ataca a usuarios de WhatsApp Web — ¿Eres el próximo objetivo?

Investigadores de ciberseguridad han destapado una nueva campaña de malware dirigida específicamente a usuarios brasileños a través de WhatsApp Web. El ataque, sofisticado y silencioso, aprovecha la confianza en la plataforma para robar datos sensibles.

¿Cómo opera? Los ciberdelincuentes infectan dispositivos mediante enlaces maliciosos camuflados como mensajes legítimos. Una vez dentro, el malware escanea contraseñas, datos bancarios e incluso secuestra sesiones activas.

Las autoridades aún no han cuantificado las pérdidas económicas, pero basta ver el historial de ciberataques en Brasil —el segundo país más afectado por fraudes digitales en 2024— para imaginar el impacto. Mientras tanto, los bancos tradicionales siguen cobrando comisiones por 'seguridad avanzada'.

Protección inmediata: Actualiza WhatsApp, usa autenticación en dos pasos y desconfía de mensajes inesperados. En el mundo cripto, al menos tus activos siguen seguros... si guardaste bien tus llaves.

Cargador de malware Maverick oculto mediante ofuscación classic

Según una entrada de blog publicada el lunes pasado por el equipo de investigación de CyberProof, el cargador utiliza tokens divididos combinados con código PowerShell codificado en Base64 y UTF-16LE. Comprueba la presencia de herramientas de ingeniería inversa y, si detecta analistas, se autoelimina. De lo contrario, descarga un gusano llamado SORVEPOTEL y un troyano bancario conocido como Maverick.

Trend Micro documentó por primera vez Maverick, el troyano bancario que monitoriza la actividad web, a principios del mes pasado y lo vinculó a un actor al que denomina Water Saci. SORVEPOTEL es un malware de autopropagación que se propaga a través de WhatsApp Web mediante la entrega de un archivo ZIP que contiene código malicioso.

Maverick analiza las pestañas activas del navegador en busca de URL que coincidan con una lista predefinida de instituciones financieras latinoamericanas de Brasil. Si encuentra una coincidencia, el troyano obtiene comandos adicionales de un servidor remoto y solicita datos del sistema para enviar páginas de phishing con el fin de robardent.

El equipo de seguridad de la empresa de software antivirus Kaspersky detectó varias coincidencias de código entre Maverick y un malware bancario más antiguo llamado Coyote. La empresa británica de software de seguridad Sophos indicó que existe la posibilidad de que Maverick sea una evolución de Coyote, pero Kaspersky considera a Maverick una amenaza distinta para los usuarios de WhatsApp Web en Brasil.

Cómo Maverick secuestra WhatsApp Web

La investigación de CyberProof indicó que la campaña evita los binarios de .NET y opta por VBScript y PowerShell. El archivo ZIP contiene un descargador de VBScript ofuscado llamado Orcamento.vbs, que los investigadores vinculan con SORVEPOTEL. 

El script VBScript ejecuta un comando de PowerShell que ejecuta tadeu.ps1 directamente en memoria, mientras que la carga útil de PowerShell automatiza Chrome mediante ChromeDriver y Selenium. Toma el control de la de WhatsApp Web de la víctima y distribuye el archivo ZIP malicioso a todos sus contactos.

El malware finaliza cualquier proceso de Chrome en ejecución y copia el perfil legítimo de Chrome a un espacio de trabajo temporal antes de enviar cualquier mensaje. 

“Estos datos incluyen cookies, tokens de autenticación y la sesión de navegador guardada, y permiten que el malware eluda la autenticación de WhatsApp Web para dar a un hacker acceso inmediato a la cuenta de WhatsApp de la víctima sin ninguna alerta de seguridad ni escaneo de código QR”, conjeturó la empresa de software de ciberseguridad estadounidense-japonesa Trend Micro.

El script, tras tomar el control de la aplicación web, muestra un banner engañoso con el título «Automatización de WhatsApp v6.0» para ocultar su actividad. El código de PowerShell obtiene plantillas de mensajes de un servidor de comando y control (C2) y extrae la lista de contactos de la víctima. 

El bucle de propagación itera sobre cada contacto recopilado antes de enviar cada mensaje y después de comprobar si el servidor C2 ha emitido una orden de pausa. Los mensajes se personalizan sustituyendo variables con saludos basados en la hora y nombres de contacto.

Trend Micro señala que la campaña utiliza un sofisticado sistema C2 remoto que permite la gestión en tiempo real. Los operadores pueden pausar, reanudar y supervisar la propagación para ejecutar operaciones coordinadas en los equipos infectados.

El malware Maverick solo se instala después de confirmar que el cliente se encuentra en Brasil. 

Cyberproof y Trend Micro confirmaron que Maverick se instala únicamente tras verificar que el equipo se encuentra en Brasil, comprobando la zona horaria, el idioma, la región del sistema y el formato de fecha y hora. Esta última empresa también descubrió que la cadena restringe la ejecución a sistemas en portugués. 

Según el informe de Trend Micro, la infraestructura de comando y control (C2) incluye canales basados en correo electrónico, lo que aumenta su redundancia y dificulta su detección. CyberProof también halló evidencia de que el malware atacaba específicamente hoteles en Brasil. Las empresas de seguridad temían que el atacante ampliara sus objetivos al sector hotelero, frecuentado por objetivos de alto valor.

Las búsquedas en VirusTotal ayudaron al equipo a recopilar muestras relacionadas y vincular sus hallazgos con investigaciones públicas de Kaspersky, Sophos y Trend Micro. Sin embargo, el análisisdent por la empresa de seguridad CyberProof reveló que no se pudo observar la cadena de infección completa debido a que los archivos del servidor de comando y control no se entregaron durante la investigación.

Únete a Bybit ahora y reclama un bono de $50 en minutos