«Hola, soy yo». Cómo un mensaje aparentemente inocente en WhatsApp puede dejar a los usuarios sin sus ahorros
Ni siquiera notarás en qué momento perdiste el control de tu dispositivo.
Una nueva serie de ataques en Brasil demuestra lo rápido que los atacantes se adaptan a las rutinas digitales cotidianas de la gente común. El foco vuelve a recaer en WhatsApp — el popular servicio de mensajería, que en el país hace tiempo se convirtió en una forma universal de comunicarse. Es a través de este que se propaga el nuevo esquema malicioso, que combina falsificación de conversaciones, toma de control de cuentas ajenas y el contagio de dispositivos con el malware bancario Eternidade Stealer.
Los especialistas de Trustwave informaron que los ataques se basan en una cadena que comienza con un enrevesado script de Visual Basic. El archivo contiene comentarios en portugués y, al ejecutarse, extrae un script que prepara dos componentes adicionales. Uno de ellos está escrito en Python y está diseñado para distribuir archivos adjuntos maliciosos a través de WhatsApp Web.
Se conecta a un servidor remoto, utiliza el proyecto WPPConnect para automatizar el envío de mensajes y extrae la lista de contactos, excluyendo cuentas empresariales y chats grupales. Para cada destinatario se recopilan el número, el nombre y el estado de guardado del contacto; esa información se envía a los atacantes y luego a todos los destinatarios recopilados se les envía el archivo adjunto malicioso.
El segundo componente es un archivo MSI instalador que despliega un script de AutoIt. Verifica el idioma del sistema operativo y deja de funcionar si el equipo no pertenece a un usuario de Brasil. Este mismo módulo inspecciona procesos y entradas del registro, recopila datos del sistema y los transmite al servidor de control. La etapa final incluye la inyección del módulo Eternidade Stealer en el proceso del sistema «svchost.exe».
El propio Eternidade Stealer está escrito en Delphi, lo que es característico de varios grupos que operan en América Latina. El programa supervisa constantemente las ventanas abiertas y los procesos en busca de menciones a servicios financieros y plataformas de criptomonedas, entre las que figuran Bradesco, MercadoPago, Stripe, Binance, Coinbase, MetaMask y otras.
Al detectar una ventana adecuada, el malware se comunica con el servidor de control, cuyas direcciones se extraen dinámicamente desde una cuenta de correo en terra.com.br mediante el protocolo IMAP. Este enfoque permite actualizar la infraestructura rápidamente y evadir bloqueos. Si el acceso a la cuenta de correo no es posible, se utiliza una dirección de reserva integrada en el código.
La siguiente fase significa la preparación para recibir comandos. La parte de control puede solicitar información del sistema, supervisar las ventanas activas, enviar formularios superpuestos para recopilar credenciales, registrar pulsaciones de teclas, tomar capturas de pantalla y descargar archivos. Los especialistas de Trustwave encontraron dos paneles de control: uno se encarga de redirigir las solicitudes y el otro de acceder al sistema de vigilancia de los dispositivos infectados.
La infraestructura permite conexiones solo desde Brasil y Argentina; el resto del tráfico se redirige a una trampa. Según los registros, de 454 intentos solo dos cumplían los filtros. La mayoría de las demás solicitudes provino de EE. UU. y también de países de Europa; se registraron conexiones desde Windows, macOS, Linux y Android.
El equipo de Trustwave subraya que, aunque el esquema está orientado a Brasil, la actividad de los dispositivos que intentan interactuar con la infraestructura indica un alcance mucho mayor. Los especialistas instan a prestar atención a ejecuciones inesperadas de archivos MSI, a archivos adjuntos sospechosos en WhatsApp y a cualquier signo de envío automatizado de mensajes.
Las huellas digitales son tu debilidad, y los hackers lo saben