¿Un amigo te envió un archivo ZIP por WhatsApp? Ya viene infectado y podrías ser el siguiente

Investigadores de Trend Micro registraron una campaña masiva de malware dirigida a usuarios de Brasil. La propagación se realiza a través de la versión de escritorio de WhatsApp y se caracteriza por su alta velocidad de infección. El malware, que recibió el nombre SORVEPOTEL, no se dedica al robo de datos ni al cifrado, como ocurre con el software espía o de rescate. Su objetivo principal es multiplicarse lo más rápido posible e infectar nuevos sistemas.

La infección comienza con un mensaje de phishing enviado por un contacto de WhatsApp ya comprometido. Esto crea la ilusión de autenticidad e induce a la víctima a abrir un archivo ZIP adjunto. El archivo está disfrazado de un documento inocuo —por ejemplo, un recibo o un archivo supuestamente relacionado con una aplicación médica. Según Trend Micro, en algunos casos el mismo archivo ZIP también se difundió por correo electrónico desde direcciones falsas pero aparentemente plausibles.

En cuanto el usuario abre el archivo, su atención se dirige al acceso directo incluido (archivo LNK) diseñado para Windows. Ejecutar ese acceso directo activa silenciosamente un script de PowerShell que se conecta a un servidor externo (por ejemplo, sorvetenopoate[.]com) y descarga el componente malicioso principal. El script obtenido se añade al inicio automático mediante la carpeta de inicio de Windows, para ejecutarse de forma automática en cada reinicio. También contiene un comando de PowerShell para dirigirse al servidor de mando y control (C2) por instrucciones adicionales o para descargar otros módulos maliciosos.

Por supuesto, la versión web de WhatsApp es el elemento central de todo el esquema. Si el malware detecta que la versión web de WhatsApp está activa en la máquina infectada, envía automáticamente el mismo archivo ZIP a todos los contactos y grupos de chat del usuario. Este método de autopropagación a través de WhatsApp permite al malware expandirse rápidamente a nuevos sistemas con prácticamente ninguna intervención humana.

Según Trend Micro, «esta difusión automática produce una gran cantidad de mensajes de spam y a menudo termina con WhatsApp bloqueando la cuenta comprometida por violación de los términos de uso». Los investigadores señalan que los operadores de la campaña, aparentemente, buscan precisamente la escala de la infección, no el acceso a información confidencial. No se detectaron indicios de robo de datos ni de cifrado de archivos.

De los 477 casos registrados, 457 correspondieron a Brasil. Fueron afectadas entidades gubernamentales, organizaciones de los sectores educativo, industrial, tecnológico, de la construcción y de servicios públicos. Los investigadores subrayan que el texto del mensaje de phishing está concebido para abrirse precisamente en una computadora, lo que puede indicar un enfoque de la campaña en entornos empresariales más que en usuarios particulares.

«SORVEPOTEL demuestra cómo los ciberdelincuentes recurren cada vez más a plataformas de comunicación populares como WhatsApp para difundir malware de forma rápida y masiva con una implicación mínima de la víctima», concluyen en Trend Micro.