Usuarios brasileños han sido blanco de un nuevo malware autopropagable denominado SORVEPOTEL, que se disemina a través de WhatsApp. La campaña, bautizada como Water Saci por Trend Micro, explota la confianza de los usuarios en la plataforma de mensajería para expandir su alcance en sistemas Windows. A diferencia de ataques tradicionales enfocados en robo de datos o ransomware, esta amenaza fue diseñada prioritariamente para velocidad y propagación masiva.
El ataque se inicia con mensajes de phishing enviados desde contactos ya comprometidos en WhatsApp, otorgando credibilidad a la comunicación. Los mensajes contienen adjuntos en formato ZIP que se hacen pasar por recibos o archivos relacionados con aplicaciones de salud. Hay evidencias de que los operadores de la campaña también utilizan correos electrónicos de direcciones aparentemente legítimas para distribuir los archivos maliciosos. Una característica interesante es que los mensajes orientan a los usuarios a abrir el archivo en desktop, sugiriendo que los atacantes pueden estar más interesados en comprometer empresas que consumidores finales.
Al abrir el adjunto, la víctima activa un archivo de acceso directo de Windows que ejecuta silenciosamente un script PowerShell, descargando el payload principal de servidores externos. El malware establece persistencia en el sistema copiándose a la carpeta de inicio de Windows y ejecuta comandos que se conectan a servidores de comando y control para buscar instrucciones adicionales. Una vez instalado, si el malware detecta que WhatsApp Web está activo en el sistema infectado, automáticamente distribuye el archivo ZIP malicioso a todos los contactos y grupos de la cuenta comprometida de la víctima, permitiendo una propagación rápida y a gran escala.
De las 477 infecciones identificadas, 457 están concentradas en Brasil, afectando principalmente a entidades de los sectores gubernamental, servicios públicos, manufactura, tecnología, educación y construcción. La propagación automatizada resulta en un alto volumen de mensajes de spam, frecuentemente llevando a la suspensión o prohibición de las cuentas por violación de los términos de servicio de WhatsApp. Actualizaciones posteriores de Trend Micro revelaron que el payload descargado del servidor incluye un componente shellcode capaz de monitorear actividades bancarias, verificando URLs de navegadores contra una lista de 65 instituciones financieras de América Latina, particularmente brasileñas. Entre los objetivos notables se encuentran Banco do Brasil, Bradesco, Binance, Caixa Econômica Federal, Itaú Unibanco, Mercado Pago, Banco do Nordeste, Santander y Sicredi. El malware puede capturar pantallas, registrar teclas digitadas, crear superposiciones falsas de alertas de seguridad bancaria y páginas de phishing para robar credenciales y tokens de autenticación.
Este post fue traducido y resumido a partir de su versión original con el uso de IA, con revisión humana.
Con información de The Hacker News