Alerta en Brasil: Gusano de WhatsApp despliega troyano Python que saquea cuentas bancarias y carteras de criptomonedas

Una nueva amenaza digital recorre Brasil—y esta vez viene por WhatsApp.

El ataque silencioso

Un gusano informático se propaga mediante mensajes fraudulentos en la plataforma de mensajería. El payload final: un troyano desarrollado en Python diseñado específicamente para vaciar cuentas bancarias y carteras de criptomonedas.

Mecánica del robo

El malware opera en dos frentes—intercepta credenciales bancarias tradicionales mientras simultáneamente escanea dispositivos en busca de claves privadas de wallets de cripto. Los desarrolladores aprovecharon la flexibilidad de Python para crear un código modular que evade detección.

El costo oculto de la conveniencia

Justo cuando pensabas que tu FSA estaba segura—resulta que tu teléfono se convirtió en la puerta trasera perfecta para los ciberdelincuentes. Porque en el mundo de las finanzas digitales, a veces la mayor vulnerabilidad no está en el código, sino en el click.

El ladrón de Eternidade oculta su actividad mediante VBScript.

Según el informe de Trustwave SpiderLabs, el ataque comienza con un VBScript ofuscado cuyos comentarios están escritos mayoritariamente en portugués.

El gusano de Python utiliza un código más corto y ágil para automatizar la actividad de WhatsApp,traclistas de contactos completas utilizando las bibliotecas wppconnect, saludos personalizados según la hora del día e insertar los nombres de los destinatarios en mensajes que contienen archivos adjuntos maliciosos.

Una función central, denominada «obter_contatos», permite al malware robar toda la libreta de contactos de WhatsApp . Para cada contacto, el gusano recopila el número de teléfono y el nombre para averiguar si la persona está guardada localmente y si dispone de un dispositivo vulnerable.

Los datos se transmiten a un servidor controlado por el atacante a través de una solicitud HTTP POST, donde, tras su recopilación, un gusano envía un archivo adjunto malicioso a cada contacto utilizando una plantilla de mensaje predefinida.

El instalador MSI despliega un troyano bancario localizado.

La segunda fase del ataque comienza una vez que el instalador MSI coloca varios componentes, incluido un script de AutoIt que comprueba inmediatamente si el idioma del dispositivo está configurado en portugués brasileño. 

En los casos en que el sistema no cumpla esta condición, el malware se desactiva, lo que podría significar que los ciberdelincuentes pretenden atacar únicamente a usuarios de Brasil.

Cuando la comprobación de la configuración regional es exitosa, el script analiza los procesos en ejecución y las claves del registro en busca de indicios de herramientas de seguridad. También crea un perfil del dispositivo y envía los detalles del sistema al servidor de comando y control de los atacantes.

El ataque finaliza con la inyección del malware de la carga útil Eternidade Stealer en “svchost.exe” mediante un proceso que oculta código malicioso dentro de procesos legítimos de Windows, conocido como “hollowing”.

Eternidade Stealer monitorea continuamente ventanas y procesos activos en busca de cadenas de caracteres relacionadas con servicios financieros, incluyendo algunos de los bancos más grandes de Brasil y plataformas fintech internacionales. 

Algunas de las empresas financieras mencionadas por Trustwave incluyen Santander, Banco do Brasil, BMG, Sicredi, Bradesco, BTG Pactual, MercadoPago, Stripe, junto con las empresas de cifrado Binance, Coinbase, MetaMask y Trust Wallet.

Los troyanos bancarios brasileños permanecen en su mayoría inactivos hasta que la víctima abre una de las aplicaciones financieras. En ese momento, se activan superposiciones o rutinas de robo dedentde forma completamente invisible para los usuarios comunes o las herramientas automatizadas de análisis de seguridad.

El bloqueo geográfico del malware limita los ataques a usuarios brasileños de WhatsApp. 

Trustwave SpiderLabs también compartió estadísticas del panel, que revelaron que el malware restringe el acceso a sistemas fuera de Brasil y Argentina. De 454 intentos de comunicación registrados, 452 fueron bloqueados debido a reglas de geolocalización. Solo se permitieron dos conexiones, que fueron redirigidas al dominio malicioso real, y los intentos bloqueados fueron redirigidos a una página de error genérica.

De los intentos de conexión fallidos, 196 procedían de Estados Unidos, seguido de los Países Bajos, Alemania, el Reino Unido y Francia. Windows representó la mayor parte de los intentos de conexión al sistema, con 115, aunque los registros también incluían 94 conexiones en macOS, 45 en Linux y 18 en dispositivos Android.

El descubrimiento se produce semanas después de que Trustwave detectara otra operación, denominada «Water Saci», que se propagaba a través de WhatsApp Web mediante un gusano llamado SORVEPOTEL. Este malware sirve de conducto para Maverick, un troyano bancario basado en NET perteneciente a una familia anterior conocida como Coyote, tal y como informó la semana pasada.

Únase a una comunidad premium de comercio de criptomonedas gratis durante 30 días (normalmente $100/mes).