Redazione RHC : 14 octubre 2025 07:20
Los analistas de Sophos descubrieron una compleja operación de malware realizada por expertos en seguridad que utiliza el popular servicio de mensajería WhatsApp para propagar troyanos bancarios, apuntando a bancos brasileños y casas de cambio de criptomonedas.
El 29 de septiembre de 2025 surgió un malware autorreplicante con técnicas avanzadas de evasión y una compleja cadena de infección multietapa diseñada para eludir las protecciones de seguridad actuales. La campaña de ataque tuvo un impacto generalizado, afectando a más de 1000 endpoints en más de 400 entornos de clientes, lo que demuestra la eficacia y el amplio alcance de la amenaza.
El ataque ocurre cuando las víctimas descargan un archivo ZIP malicioso a través de WhatsApp Web de un contacto previamente infectado. El componente de ingeniería social es particularmente astuto, ya que el mensaje afirma que el contenido adjunto solo puede verse en un ordenador , engañando así a los destinatarios para que descarguen y ejecuten el malware en ordenadores de escritorio en lugar de dispositivos móviles.
Al investigar varios incidentes en Brasil, los analistas de Sophos descubrieron el complejo mecanismo de infección utilizado por el malware. Este enfoque táctico le permite operar en un entorno estable y desplegar plenamente sus capacidades de carga útil.
El malware inicia su ejecución con un archivo LNK de Windows malicioso oculto en el archivo ZIP . Una vez ejecutado, el archivo LNK contiene un comando de Windows ofuscado que crea y ejecuta un comando de PowerShell codificado en Base64.
Los comentarios portugueses incrustados en el código de PowerShell revelan la intención del autor de «añadir una exclusión en Microsoft Defender» y «deshabilitar el Control de Cuentas de Usuario (UAC)» . Estos cambios crean un entorno permisivo en el que el malware puede operar sin activar alertas de seguridad ni requerir la interacción del usuario para operaciones privilegiadas.
Este script de PowerShell de primera etapa lanza en secreto un proceso de Explorer que descarga la carga útil de la siguiente etapa desde los servidores de comando y control , incluidos hxxps[:]//www.zapgrande[.]com, expansiveuser[.]com y sorvetenopote[.]com.
Los actores de amenazas demuestran una considerable familiaridad con la arquitectura de seguridad de Windows y las características de PowerShell, utilizando métodos de ofuscación que permiten que el malware funcione sin interrupciones durante períodos prolongados de tiempo.
La campaña distribuye dos cargas útiles distintas según las características del sistema infectado: una herramienta legítima de automatización del navegador Selenium con su ChromeDriver correspondiente y un troyano bancario llamado Maverick.
La funcionalidad de carga útil de Selenium permite a los atacantes administrar las sesiones del navegador actualmente activas, lo que facilita la interceptación de las sesiones web de WhatsApp y la activación del proceso de autopropagación del gusano.
RedazioneLos analistas de Sophos descubrieron una compleja operación de malware realizada por expertos en seguridad que utiliza el popular servicio de mensajería WhatsApp para propagar troyanos bancarios, ap...
Se ha identificado una vulnerabilidad crítica en la arquitectura de seguridad de hardware AMD SEV-SNP, que afecta a los principales proveedores de servicios en la nube (AWS, Microsoft Azure y Google ...
La empresa israelí NSO Group, desarrolladora del infame software espía Pegasus , quedó recientemente bajo el control de inversores estadounidenses. Un portavoz de la compañía anunció que la nuev...
Más de 1,2 millones de kilómetros de cables de fibra óptica se extienden por el fondo oceánico, considerados durante mucho tiempo solo como parte de una red global de telecomunicaciones. Sin embar...
La cita, “Definitivamente construiremos un búnker antes de lanzar AGI”, que inspiró el artículo, fue atribuida a un líder de Silicon Valley, aunque no está claro exactamente a quién se refer...
