WhatsApp en manos de hackers bancarios: el virus Coyote roba sesiones del navegador, infecta a tus contactos y vacía cuentas bancarias

Investigadores identificaron una relación entre el conocido troyano bancario Coyote y el malware recientemente detectado Maverick, que se propagaba a través de WhatsApp. Los analistas señalan coincidencias en la plataforma .NET utilizada, la funcionalidad y los mecanismos de infección — todo esto apunta a un origen común y a la pertenencia a un mismo entorno delictivo cibernético que opera en Brasil.

Por primera vez sobre Maverick informó la compañía Trend Micro: los investigadores lo vincularon con el grupo Water Saci. La campaña consta de dos componentes. El primero es el módulo autorreplicante SORVEPOTEL, que se transmite a través de la versión web del mensajero WhatsApp; el segundo es un archivo ZIP que contiene el ejecutable principal Maverick, que despliega la carga maliciosa en el dispositivo de la víctima. Posteriormente Sophos y Kaspersky Lab realizaron análisis independientes: Sophos sugirió que Maverick es una evolución de Coyote, y en Kaspersky confirmaron la presencia de fragmentos de código coincidentes, aunque lo clasificaron como una familia separada orientada a ataques masivos contra usuarios brasileños.

Вinforme de CyberProof se revelaron nuevos detalles técnicos sobre la cadena de infección. Dentro del archivo ZIP hay un acceso directo de Windows (LNK). Al ejecutarlo, llama a cmd.exe o PowerShell para descargar la primera etapa desde un servidor remoto — en la publicación se menciona el dominio «zapgrande[.]com». A continuación, el script PowerShell despliega herramientas intermedias, desactiva la protección de Microsoft Defender y elude el Control de cuentas de usuario (UAC), tras lo cual descarga el cargador .NET. Éste comprueba la presencia de herramientas de análisis y finaliza su ejecución si detecta depuradores, y luego descarga los componentes principales — SORVEPOTEL y Maverick.

Una característica notable es el mecanismo de filtrado geográfico: la instalación de Maverick se realiza sólo después de verificar que el sistema infectado está en Brasil. Para ello el malware comprueba la zona horaria, el idioma de la interfaz, la configuración regional y el formato de fecha. CyberProof también registró casos en los que la misma infraestructura se utilizó para ataques contra hoteles, probablemente como una expansión del público objetivo de la campaña.

Como parte de la táctica actualizada de Water Saci, descrita en detalle por Trend Micro, los atacantes abandonaron los binarios .NET a favor de una combinación de VBScript y PowerShell. Este conjunto permite interceptar sesiones de WhatsApp Web y enviar archivos ZIP infectados a la lista de contactos de la víctima. Para automatizar el navegador, los atacantes descargan ChromeDriver y utilizan Selenium, lo que les permite imitar acciones de usuario, gestionar perfiles y enviar mensajes.

El esquema típico de compromiso comienza con la descompresión de un archivo ZIP que contiene un cargador VBS ofuscado «Orcamento.vbs» (también conocido como SORVEPOTEL). Ese VBScript ejecuta un comando PowerShell que descarga y ejecuta el script «tadeu.ps1» directamente en la memoria. Luego el script modifica el perfil del navegador Chrome: termina procesos activos, copia desde el directorio de usuario las cookies, los tokens de autorización y las sesiones guardadas al almacenamiento temporal. Gracias a esto, el malware obtiene acceso a WhatsApp Web sin necesidad de volver a escanear el código QR.

El control de la sesión permite al script enviar archivos infectados a todos los contactos y, a la vez, recibir plantillas de mensajes desde un servidor de mando. Para ocultarse, muestra una ventana falsa con la inscripción «WhatsApp Automation v6.0», que crea la ilusión de un proceso legítimo. Al enviar mensajes, PowerShell recorre cada contacto, inserta en la plantilla el nombre del destinatario y un saludo según la hora del día; antes del envío se comprueba la presencia de una señal de «pausa» para gestionar dinámicamente la actividad.

El canal de comunicación en SORVEPOTEL se implementa de forma inusual: en lugar del HTTP estándar utiliza el protocolo IMAP. El backdoor se conecta a una cuenta de correo en terra.com[.]br con credenciales preconfiguradas y lee comandos de los correos entrantes. Algunas cuentas están protegidas con autenticación multifactor (MFA), por lo que los operadores deben introducir manualmente códigos de un solo uso para iniciar sesión. Esto ralentiza las operaciones, pero añade sigilo. Tras recibir una nueva URL del servidor de mando, el malware la consulta regularmente y ejecuta las instrucciones recibidas.

El conjunto de comandos soportados abarca toda la gama de funciones de postexplotación: recopilación de información del sistema (INFO), ejecución de comandos mediante cmd.exe (CMD) o PowerShell (POWERSHELL), captura de pantalla (SCREENSHOT), listado de procesos (TASKLIST), terminación de tareas específicas (KILL), así como operaciones con archivos y directorios (LIST_FILES, DOWNLOAD_FILE, UPLOAD_FILE, DELETE, RENAME, COPY, MOVE, FILE_INFO, SEARCH, CREATE_FOLDER). Además incluye funciones de reinicio (REBOOT), apagado (SHUTDOWN), actualización del propio malware (UPDATE) y comprobación del buzón de correo en busca de nuevas direcciones C2 (CHECK_EMAIL).

Destaca el sistema de gestión y resistencia: el nuevo esquema emplea un anclaje multivectorial en el sistema y una infraestructura C2 distribuida. Esto permite a los operadores pausar y reanudar la campaña, monitorear el estado de los dispositivos infectados y gestionarlos como elementos de una botnet. Según Trend Micro, el programa se ejecuta sólo en dispositivos configurados con el idioma portugués y la configuración regional correspondiente, para reducir el riesgo de detección fuera de la zona objetivo.

La importancia de la amenaza para Brasil es evidente: WhatsApp sigue siendo una de las principales plataformas de comunicación en el país, con más de 148 millones de usuarios activos. El envío masivo de archivos comprimidos a las listas de contactos hace que la campaña sea extremadamente contagiosa y económica de ejecutar, especialmente teniendo en cuenta el uso de perfiles de navegador robados para eludir la verificación de autenticidad.

Se recomienda reforzar el control sobre el comportamiento de los navegadores y los scripts del sistema: detectar la copia no autorizada de perfiles, bloquear llamadas sospechosas a PowerShell y VBScript, restringir la ejecución de scripts externos mediante AppLocker o WDAC y mantener las bases antivirus actualizadas. También conviene monitorear la actividad de las cuentas de correo terra.com[.]br y las conexiones de red a dominios externos como «zapgrande[.]com». A los usuarios se les aconseja no abrir archivos ZIP procedentes de mensajes y prestar atención a cualquier ventana emergente inusual en el navegador.

La comparación entre Coyote y Maverick demuestra la evolución de los métodos de propagación de troyanos bancarios: los atacantes pasan de los descargadores tradicionales al uso de perfiles legítimos de navegadores y mensajeros, aumentando el sigilo y la eficacia de los ataques. Este cambio exige a los especialistas en defensa la adaptación de las herramientas de monitoreo y la automatización del análisis, así como una colaboración estrecha entre los operadores de infraestructura y los proveedores.