Brasil enfrenta un aumento en los ataques de gusanos de WhatsApp que apuntan a aplicaciones de Cripto y bancarias

Una nueva campaña de gusanos y troyanos basada en WhatsApp en Brasil está comprometiendo cuentas de criptomonedas y cuentas bancarias a través de un grupo de malware de rápida propagación llamado Eternidade.

Investigadores identifican una nueva amenaza de múltiples etapas

Los usuarios de criptomonedas en Brasil están siendo advertidos sobre una nueva operación de malware que aprovecha el secuestro de WhatsApp para difundir un troyano bancario diseñado para robar credenciales financieras. Los investigadores de Trustwave SpiderLabs han revelado que la campaña gira en torno a un nuevo ladrón identificado como Eternidade, un malware basado en Delphi capaz de actualizar dinámicamente su infraestructura de comando y control y recopilar datos de las víctimas de forma sigilosa.

Los investigadores Nathaniel Morales, John Basmayor y Nikita Kazymirskyi señalaron que WhatsApp sigue siendo central en el ecosistema cibernético criminal de Brasil, afirmando,

“WhatsApp sigue siendo uno de los canales de comunicación más explotados en el ecosistema de ciberdelito de Brasil. En los últimos dos años, los actores de amenazas han refinado sus tácticas, utilizando la inmensa popularidad de la plataforma para distribuir troyanos bancarios y malware que roba información.”

Cómo funciona la cadena de infección

Según el equipo de investigación, la operación en curso comienza con mensajes de ingeniería social entregados a través de WhatsApp. Estos señuelos imitan formatos familiares, como notificaciones de entrega, grupos de inversión fraudulentos y “programas gubernamentales falsos”, para engañar a los destinatarios y que hagan clic en enlaces maliciosos.

Una vez que se hace clic, el enlace activa el despliegue tanto de un gusano de secuestro como del troyano bancario Eternidade. El gusano toma inmediatamente el control de la cuenta de WhatsApp de la víctima, extrae la lista de contactos y se dirige selectivamente a contactos individuales utilizando “filtrado inteligente”, evitando grupos empresariales para maximizar la probabilidad de interacción personal.

Simultáneamente, un archivo troyano se descarga silenciosamente en el dispositivo. Este componente instala el Eternidade Stealer en segundo plano, permitiendo a los atacantes escanear credenciales vinculadas a los principales bancos brasileños, plataformas fintech y exchanges y billeteras de criptomonedas.

Comando y Control Adaptativo a través de Gmail

Una de las características más cruciales de la campaña es su método poco convencional para recibir comandos actualizados. En lugar de depender de direcciones de servidor estáticas, Eternidade utiliza credenciales codificadas para iniciar sesión en una cuenta de Gmail a través de IMAP. Esto permite a los atacantes enviar instrucciones actualizadas simplemente enviando un correo electrónico a la cuenta controlada.

Los investigadores destacaron esta técnica en su informe:

“Una característica notable de este malware es que utiliza credenciales codificadas para iniciar sesión en su cuenta de correo electrónico, desde la cual recupera su servidor C2. Es una forma muy inteligente de actualizar su C2, mantener la persistencia y evadir detecciones o eliminaciones a nivel de red. Si el malware no puede conectarse a la cuenta de correo electrónico, utiliza una dirección C2 de respaldo codificada.”

Actividad de malware relacionada

La operación Eternidade sigue de cerca a otra ola de malware enfocada en Brasil conocida como Water Saci, que utilizó un gusano de WhatsApp Web llamado SORVEPOTEL para distribuir Maverick, un troyano bancario basado en .NET vinculado a variantes anteriores de malware Coyote. Estos incidentes subrayan una tendencia persistente en la región: el uso de WhatsApp como un vector principal y la continua dependencia de herramientas basadas en Delphi para el desarrollo de malware.

Recomendaciones de Seguridad

Los expertos en seguridad están aconsejando a los usuarios de WhatsApp que eviten hacer clic en enlaces desconocidos, incluso cuando son enviados por contactos de confianza. Se recomienda confirmar los mensajes sospechosos a través de canales de comunicación alternativos, particularmente cuando poco contexto acompaña al enlace.

Descargo de responsabilidad: Este artículo se proporciona solo con fines informativos. No se ofrece ni se pretende utilizar como asesoramiento legal, fiscal, de inversión, financiero u otro.