- La combinación de gusano y troyano de WhatsApp apunta a usuarios de cripto brasileños con secuestros de cuentas sigilosos.
- El malware utiliza un sistema de comandos basado en Gmail para evadir los apagones y actualizar sus funciones.
- Los registros del panel de redirección muestran exposición global, con la mayoría de los intentos de conexión desde sistemas de sobremesa.
Las autoridades brasileñas y analistas de ciberseguridad han alertado sobre una campaña de malware que se propaga rápidamente y que utiliza mensajes de WhatsApp para atacar a usuarios de criptomonedas mediante secuestros automáticos de cuentas y un sofisticado troyano bancario.
La operación , identificada por investigadores de Trustwave SpiderLabs, vincula un gusano propagado por WhatsApp con una herramienta de amenaza conocida como Eternidade Stealer, que permite a los atacantes obtener credenciales bancarias, accesos de intercambio de criptomonedas y otra información financiera sensible de dispositivos infectados.
Los investigadores rastrean la actividad coordinada mediante señuelos basados en WhatsApp
Según los investigadores de SpiderLabs Nathaniel Morales, John Basmayor y Nikita Kazymirskyi, la campaña se basa en mensajes de ingeniería social que imitan avisos gubernamentales, actualizaciones de entrega, grupos de inversión fraudulentos o incluso contactos de amigos.
Una vez que una víctima abre el enlace malicioso, tanto el gusano como el troyano bancario se instalan simultáneamente. El gusano incauta inmediatamente la cuenta de WhatsApp de la víctima, extrae la lista de contactos y filtra grupos o números de negocio para priorizar la segmentación uno a uno.
Durante este proceso, el troyano compañero entrega la carga útil Eternidade Stealer. El malware escanea el sistema en busca de credenciales vinculadas a plataformas bancarias brasileñas, cuentas fintech y servicios relacionados con criptomonedas, incluyendo monederos y exchanges. Los investigadores argumentan que esta estructura de doble etapa se ha vuelto cada vez más común en el ecosistema del cibercrimen brasileño, que ha utilizado WhatsApp en campañas pasadas, como Water Saci, que abarcaron 2024 y 2025.
El malware utiliza la recuperación de comandos basada en Gmail para evadir retiradas
Los investigadores informan que el malware evita los apagones tradicionales de red utilizando una cuenta de Gmail preestablecida para recibir comandos actualizados. En lugar de depender de un servidor fijo de comandos y control (C2), inicia sesión en la dirección de correo electrónico codificada, comprueba las instrucciones más recientes y solo vuelve a un dominio C2 estático si el correo no es alcanzable. SpiderLabs se refirió a este método como una forma de mantener la persistencia mientras se reducía la probabilidad de ser detectado.
Relacionado: Nueva amenaza de malware: Cthulhu Stealer apunta a Mac y Cripto
Datos del Panel de Redireccionadores revelan su presencia global
Durante el mapeo de infraestructura, los analistas enlazaron el dominio inicial, *serverseistemasatu[.]com,* a un servidor que aloja múltiples paneles de actores de amenazas, incluido un Sistema de Redirección utilizado para rastrear conexiones entrantes. De las 453 visitas registradas, 451 fueron bloqueadas por restricciones geográficas, permitiendo solo Brasil y Argentina.
Sin embargo, los datos de registro mostraron 454 intentos de comunicación en 38 países, incluyendo Estados Unidos (196), Países Bajos (37), Alemania (32), Reino Unido (23) y Francia (19). Solo tres interacciones se originaron en Brasil.
El panel también registró estadísticas de sistemas operativos que indicaban que el 40% de las conexiones provenían de sistemas no identificados, seguido de Windows (25%), macOS (21%), Linux (10%) y Android (4%). Los investigadores afirmaron que los datos muestran que la mayoría de las interacciones ocurrieron desde entornos de escritorio.
Relacionado: Cómo se explotaron los permisos de la cartera del navegador en la última estafa de oferta de empleo en LinkedIn
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
