Redazione RHC : 14 octubre 2025 07:20
Los analistas de Sophos descubrieron una compleja operación de malware realizada por expertos en seguridad que utiliza el popular servicio de mensajería WhatsApp para propagar troyanos bancarios, apuntando a bancos brasileños y casas de cambio de criptomonedas.
El 29 de septiembre de 2025 surgió un malware autorreplicante con técnicas avanzadas de evasión y una compleja cadena de infección multietapa diseñada para eludir las protecciones de seguridad actuales. La campaña de ataque tuvo un impacto generalizado, afectando a más de 1000 endpoints en más de 400 entornos de clientes, lo que demuestra la eficacia y el amplio alcance de la amenaza.
El ataque ocurre cuando las víctimas descargan un archivo ZIP malicioso a través de WhatsApp Web de un contacto previamente infectado. El componente de ingeniería social es particularmente astuto, ya que el mensaje afirma que el contenido adjunto solo puede verse en un ordenador , engañando así a los destinatarios para que descarguen y ejecuten el malware en ordenadores de escritorio en lugar de dispositivos móviles.
Al investigar varios incidentes en Brasil, los analistas de Sophos descubrieron el complejo mecanismo de infección utilizado por el malware. Este enfoque táctico le permite operar en un entorno estable y desplegar plenamente sus capacidades de carga útil.
El malware inicia su ejecución con un archivo LNK de Windows malicioso oculto en el archivo ZIP . Una vez ejecutado, el archivo LNK contiene un comando de Windows ofuscado que crea y ejecuta un comando de PowerShell codificado en Base64.
Los comentarios portugueses incrustados en el código de PowerShell revelan la intención del autor de «añadir una exclusión en Microsoft Defender» y «deshabilitar el Control de Cuentas de Usuario (UAC)» . Estos cambios crean un entorno permisivo en el que el malware puede operar sin activar alertas de seguridad ni requerir la interacción del usuario para operaciones privilegiadas.
Este script de PowerShell de primera etapa lanza en secreto un proceso de Explorer que descarga la carga útil de la siguiente etapa desde los servidores de comando y control , incluidos hxxps[:]//www.zapgrande[.]com, expansiveuser[.]com y sorvetenopote[.]com.
Los actores de amenazas demuestran una considerable familiaridad con la arquitectura de seguridad de Windows y las características de PowerShell, utilizando métodos de ofuscación que permiten que el malware funcione sin interrupciones durante períodos prolongados de tiempo.
La campaña distribuye dos cargas útiles distintas según las características del sistema infectado: una herramienta legítima de automatización del navegador Selenium con su ChromeDriver correspondiente y un troyano bancario llamado Maverick.
La funcionalidad de carga útil de Selenium permite a los atacantes administrar las sesiones del navegador actualmente activas, lo que facilita la interceptación de las sesiones web de WhatsApp y la activación del proceso de autopropagación del gusano.
RedazioneLa primera computadora cuántica atómica de China ha alcanzado un importante hito comercial al registrar sus primeras ventas a clientes nacionales e internacionales, según medios estatales. El Hubei...
El director ejecutivo de NVIDIA, Jen-Hsun Huang, supervisa directamente a 36 empleados en siete áreas clave: estrategia, hardware, software, inteligencia artificial, relaciones públicas, redes y asi...
OpenAI ha presentado Aardvark, un asistente autónomo basado en el modelo GPT-5 , diseñado para encontrar y corregir automáticamente vulnerabilidades en el código de software. Esta herramienta de I...
Hoy en día, muchos se preguntan qué impacto tendrá la expansión de la Inteligencia Artificial en nuestra sociedad. Entre las mayores preocupaciones se encuentra la pérdida de millones de empleos ...
Análisis de RHC de la red “BHS Links” y la infraestructura global automatizada de SEO Black Hat. Un análisis interno de Red Hot Cyber sobre su dominio ha descubierto una red global de SEO Black ...
