La popularidad de WhatsApp como herramienta de mensajería instantánea ha convertido a la plataforma en un objetivo codiciado para ciberdelincuentes. En América Latina, expertos en ciberseguridad alertan sobre la aparición de nuevas campañas de malware que emplean la app como vehículo de infección, aprovechando la confianza y el alcance masivo del servicio.

El malware que circula fue detectadó por Trend Micro Inc., empresa especializada en seguridad cibernética. Esta amenaza se expande con rapidez entre cuentas de usuarios de Latinoamérica y utiliza ingeniosas técnicas para propagar archivos maliciosos, consolidándose como una de las campañas más agresivas que afectan actualmente a sistemas Windows.

El vector principal de ataque se basa en archivos ZIP enviados como adjuntos a través de mensajes de phishing en WhatsApp. Al abrir estos archivos en una computadora, el malware (conocido como SORVEPOTEL) establece persistencia en el sistema e inmediatamente secuestra la cuenta de la víctima para enviar el mismo archivo a todos sus contactos, amplificando la velocidad de propagación.

De acuerdo con la investigación los atacantes parecen posicionarse hacia el entorno corporativo, ya que el archivo malicioso requiere ser ejecutado en un escritorio, y su actividad masiva suele desencadenar bloqueos automáticos de cuentas por spam.

La infección se apoya en scripts avanzados de PowerShell que descargan y ejecutan código malicioso directamente desde servidores de comando y control.

Los investigadores de Trend Micro documentaron que el malware incluye mecanismos para ajustar capturas de pantalla, bloquear el acceso al sistema y desplegar ventanas de notificación falsas bajo apariencia de actualizaciones o chequeos de seguridad del sistema operativo.

Mediante técnicas de superposición, es capaz de mostrar formularios falsos sobre interfaces bancarias legítimas, solicitando credenciales bancarias, firmas electrónicas o códigos de autenticación, y ajustando la interfaz para simular la página real de la entidad financiera.

Un análisis más profundo revela que instituciones como Banco do Brasil, Bradesco, Binance, Itaú Unibanco, Mercado Pago, Santander y otras entidades bancarias brasileñas y plataformas de criptomonedas se encuentran entre los objetivos codificados de la campaña.

Los atacantes han diseñado superposiciones que imitan el diseño de aplicaciones bancarias oficiales para obtener información confidencial, incluyendo credenciales y tokens.

Además de suplantar aplicaciones financieras, el malware implementa una segunda etapa capaz de secuestrar la instancia de WhatsApp Web empleando herramientas como Selenium y Chromedriver. Identifica si hay una sesión activa y, si la encuentra, automatiza el envío de mensajes maliciosos a través de la interfaz web de la plataforma, replicando el ciclo infeccioso.

Durante el análisis, la empresa de ciberseguridad observó que el mensaje que acompaña al archivo ZIP malicioso aparece idéntico en reportes y capturas ya circulando en redes sociales, confirmando la conexión entre los ataques monitoreados y la ingeniería social desplegada por los atacantes.

Aunque la carga principal actual de la campaña parece estar enfocada en la propagación, la evidencia de variantes previas muestra que técnicas semejantes han sido utilizadas para comprometer datos financieros y credenciales en ataques contra empresas brasileñas.

El malware también se apoya en tácticas de evasión por medio de dominios similares para dificultar la identificación de su infraestructura. En la investigación también se logró identificar cadenas de distribución vinculadas a dominios locales y a infraestructuras de entrega cuidadosamente disfrazadas, lo que dificulta su erradicación y seguimiento.

Entre las recomendaciones de defensa sugeridas por Trend Micro, se destaca desactivar la descarga automática de archivos y documentos en WhatsApp para limitar la exposición a contenidos maliciosos, y reforzar políticas corporativas sobre transferencia de archivos en plataformas personales.

También es aconsejable bloquear la transferencia de archivos por aplicaciones de mensajería en dispositivos administrados, y aumentar la capacitación y concienciación de los usuarios para detectar intentos de phishing o mensajes sospechosos, incluso cuando provengan de contactos confiables.

La vigilancia constante, el uso de soluciones de seguridad robustas y la formación continua resultan fundamentales para proteger tanto a empresas como a usuarios particulares de la creciente amenaza que representa el malware en WhatsApp.