Redazione RHC : 14 octubre 2025 07:20
Los analistas de Sophos descubrieron una compleja operación de malware realizada por expertos en seguridad que utiliza el popular servicio de mensajería WhatsApp para propagar troyanos bancarios, apuntando a bancos brasileños y casas de cambio de criptomonedas.
El 29 de septiembre de 2025 surgió un malware autorreplicante con técnicas avanzadas de evasión y una compleja cadena de infección multietapa diseñada para eludir las protecciones de seguridad actuales. La campaña de ataque tuvo un impacto generalizado, afectando a más de 1000 endpoints en más de 400 entornos de clientes, lo que demuestra la eficacia y el amplio alcance de la amenaza.
El ataque ocurre cuando las víctimas descargan un archivo ZIP malicioso a través de WhatsApp Web de un contacto previamente infectado. El componente de ingeniería social es particularmente astuto, ya que el mensaje afirma que el contenido adjunto solo puede verse en un ordenador , engañando así a los destinatarios para que descarguen y ejecuten el malware en ordenadores de escritorio en lugar de dispositivos móviles.
Al investigar varios incidentes en Brasil, los analistas de Sophos descubrieron el complejo mecanismo de infección utilizado por el malware. Este enfoque táctico le permite operar en un entorno estable y desplegar plenamente sus capacidades de carga útil.
El malware inicia su ejecución con un archivo LNK de Windows malicioso oculto en el archivo ZIP . Una vez ejecutado, el archivo LNK contiene un comando de Windows ofuscado que crea y ejecuta un comando de PowerShell codificado en Base64.
Los comentarios portugueses incrustados en el código de PowerShell revelan la intención del autor de «añadir una exclusión en Microsoft Defender» y «deshabilitar el Control de Cuentas de Usuario (UAC)» . Estos cambios crean un entorno permisivo en el que el malware puede operar sin activar alertas de seguridad ni requerir la interacción del usuario para operaciones privilegiadas.
Este script de PowerShell de primera etapa lanza en secreto un proceso de Explorer que descarga la carga útil de la siguiente etapa desde los servidores de comando y control , incluidos hxxps[:]//www.zapgrande[.]com, expansiveuser[.]com y sorvetenopote[.]com.
Los actores de amenazas demuestran una considerable familiaridad con la arquitectura de seguridad de Windows y las características de PowerShell, utilizando métodos de ofuscación que permiten que el malware funcione sin interrupciones durante períodos prolongados de tiempo.
La campaña distribuye dos cargas útiles distintas según las características del sistema infectado: una herramienta legítima de automatización del navegador Selenium con su ChromeDriver correspondiente y un troyano bancario llamado Maverick.
La funcionalidad de carga útil de Selenium permite a los atacantes administrar las sesiones del navegador actualmente activas, lo que facilita la interceptación de las sesiones web de WhatsApp y la activación del proceso de autopropagación del gusano.
RedazioneEn el porche de una vieja cabaña en Colorado, Mark Gubrud , de 67 años, mira distraídamente el anochecer distante, con su teléfono a su lado y la pantalla todavía en una aplicación de noticias. ...
El trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
El panorama del ransomware está cambiando. Los actores más expuestos —LockBit, Hunters International y Trigona— han pagado el precio de la sobreexposición, incluyendo operaciones internacionale...
