¿Un amigo te mandó un archivo extraño? Enhorabuena: su WhatsApp ahora está siendo usado por hackers brasileños
Astaroth se propaga automáticamente entre los contactos sin intervención humana.
En Brasil se ha detectado una nueva campaña maliciosa, en la que se utiliza activamente el mensajero WhatsApp para propagar el troyano bancario Astaroth. Este método de entrega del software malicioso es especialmente eficaz debido a la popularidad de la aplicación en el país. Según el equipo de Acronis, el ataque recibió el nombre interno Boto Cor-de-Rosa.
La infección comienza cuando el usuario recibe un mensaje con un archivo adjunto en formato ZIP. Tras extraer el contenido, se abre un script en Visual Basic, disfrazado de archivo inocuo. Al ejecutarlo, inicia la descarga de los siguientes componentes, incluido un módulo para la propagación del malware y la parte principal maliciosa.
El programa funciona con un esquema de dos etapas. El primer módulo, escrito en Python, obtiene acceso a la lista de contactos de WhatsApp y envía a cada uno el mismo archivo malicioso, lo que permite que el troyano se propague rápidamente por la cadena. El segundo módulo funciona en segundo plano, supervisando las acciones del usuario en el navegador, y se activa al acceder a sitios bancarios para robar credenciales de acceso y datos para realizar operaciones financieras.
Además, el software malicioso contiene mecanismos integrados para monitorizar la eficacia de las infecciones. En tiempo real recopila estadísticas: cantidad de mensajes enviados con éxito, número de intentos fallidos y velocidad de envío.
Según Acronis, la actividad maliciosa se observa desde finales de septiembre de 2025. El objetivo principal sigue siendo los usuarios en Brasil, que representan más del 95% de todas las infecciones. Los demás casos se registraron en Estados Unidos y Austria. Estos ataques continúan la cadena de propagación de Astaroth identificada anteriormente, en la que se aplican mecanismos de infección multinivel, incluidos scripts en PowerShell y Python, así como archivos de instalación en formato MSI.
Anteriormente, un enfoque similar fue empleado por grupos rastreados como Water Saci y PINEAPPLE. También utilizaron el envío de mensajes a través del mensajero para infectar a los usuarios con los programas maliciosos Maverick y Casbaneiro. La adopción gradual de componentes multilingües y la adaptación a los canales de comunicación más populares demuestran la creciente capacidad técnica de los atacantes y su orientación a la infección masiva a través de los hábitos digitales cotidianos de los usuarios.