Un gusano de WhatsApp propaga un troyano dirigido a aplicaciones de criptomonedas ydentfinancieras brasileñas.

- Un gusano informático de WhatsApp en Brasil está propagando un troyano basado en Python que robadentbancarias y de criptomonedas.
- El malware secuestra los contactos de WhatsApp, automatiza los mensajes e implementa el Eternidade Stealer a través de una cadena de infección de varias etapas.
- La campaña se dirige a los sistemas en portugués brasileño, utilizando geocercas, actualizaciones C2 basadas en IMAP y superposiciones financieras localizadas.
Un nuevo gusano que se propaga por WhatsApp está infectando dispositivos en Brasil, distribuyendo un troyano bancario llamado Eternidade (Eternidad) Stealer que robadentpara billeteras de criptomonedas y servicios financieros.
Según las conclusiones de los investigadores Nathaniel Morales, John Basmayor y Nikita Kazymirskyi de SpiderLabs, empresa de seguridad Web3, la operación utiliza el Protocolo de Acceso a Mensajes de Internet (IMAP) para obtener información de comando y control bajo demanda. Los datos robados pueden ayudar al atacante a rotar servidores y evitar interrupciones a medida que el malware se propaga.
“Utiliza el Protocolo de Acceso a Mensajes de Internet (IMAP) para recuperar dinámicamente las direcciones de comando y control (C2), lo que permite al atacante actualizar su servidor C2”, escribieron en la página del blog de la compañía el miércoles.
Los investigadores dijeron que los atacantes abandonaron los scripts antiguos de PowerShell y ahora están implementando un enfoque basado en Python para secuestrar WhatsApp y distribuir archivos maliciosos.
El ladrón de Eternidade oculta su actividad mediante VBScript.
Según el informe de Trustwave SpiderLabs, el ataque comienza con un VBScript ofuscado cuyos comentarios están escritos mayoritariamente en portugués.
El gusano de Python utiliza un código más corto y ágil para automatizar la actividad de WhatsApp,traclistas de contactos completas utilizando las bibliotecas wppconnect, saludos personalizados según la hora del día e insertar los nombres de los destinatarios en mensajes que contienen archivos adjuntos maliciosos.
Una función central, denominada “obter_contatos”, permite al malware robar la agenda completa de WhatsApp. Para cada contacto, el gusano recopila el número de teléfono y el nombre para determinar si la persona está guardada localmente y si tiene un dispositivo vulnerable.
Los datos se transmiten a un servidor controlado por el atacante a través de una solicitud HTTP POST, donde, tras su recopilación, un gusano envía un archivo adjunto malicioso a cada contacto utilizando una plantilla de mensaje predefinida.
El instalador MSI despliega un troyano bancario localizado.
La segunda fase del ataque comienza una vez que el instalador MSI coloca varios componentes, incluido un script de AutoIt que comprueba inmediatamente si el idioma del dispositivo está configurado en portugués brasileño.
En los casos en que el sistema no cumpla esta condición, el malware se desactiva, lo que podría significar que los ciberdelincuentes pretenden atacar únicamente a usuarios de Brasil.
Cuando la comprobación de la configuración regional es exitosa, el script analiza los procesos en ejecución y las claves del registro en busca de indicios de herramientas de seguridad. También crea un perfil del dispositivo y envía los detalles del sistema al servidor de comando y control de los atacantes.
El ataque finaliza con la inyección del malware de la carga útil Eternidade Stealer en “svchost.exe” mediante un proceso que oculta código malicioso dentro de procesos legítimos de Windows, conocido como “hollowing”.
Eternidade Stealer monitorea continuamente ventanas y procesos activos en busca de cadenas de caracteres relacionadas con servicios financieros, incluyendo algunos de los bancos más grandes de Brasil y plataformas fintech internacionales.
Algunas de las empresas financieras mencionadas por Trustwave incluyen Santander, Banco do Brasil, BMG, Sicredi, Bradesco, BTG Pactual, MercadoPago, Stripe, junto con las empresas de cifrado Binance, Coinbase, MetaMask y Trust Wallet.
Los troyanos bancarios brasileños permanecen en su mayoría inactivos hasta que la víctima abre una de las aplicaciones financieras. En ese momento, se activan superposiciones o rutinas de robo dedentde forma completamente invisible para los usuarios comunes o las herramientas automatizadas de análisis de seguridad.
El bloqueo geográfico del malware limita los ataques a usuarios brasileños de WhatsApp.
Trustwave SpiderLabs también compartió estadísticas del panel, que revelaron que el malware restringe el acceso a sistemas fuera de Brasil y Argentina. De 454 intentos de comunicación registrados, 452 fueron bloqueados debido a reglas de geolocalización. Solo se permitieron dos conexiones, que fueron redirigidas al dominio malicioso real, y los intentos bloqueados fueron redirigidos a una página de error genérica.

De los intentos de conexión fallidos, 196 procedían de Estados Unidos, seguido de los Países Bajos, Alemania, el Reino Unido y Francia. Windows representó la mayor parte de los intentos de conexión al sistema, con 115, aunque los registros también incluían 94 conexiones en macOS, 45 en Linux y 18 en dispositivos Android.
Este descubrimiento se produce semanas después de que Trustwave encontrara otra operación denominada "Water Saci" que se propagaba a través de WhatsApp Web mediante un gusano llamado SORVEPOTEL. Este malware sirve de conducto para Maverick, un troyano bancario basado en NET que pertenece a una familia anterior conocida como Coyote, como Cryptopolitan informó la semana pasada.
Las mentes más brillantes del mundo de las criptomonedas ya leen nuestro boletín. ¿Te apuntas? ¡ Únete!
Aviso legal. La información proporcionada no constituye asesoramiento comercial. Cryptopolitanconsultar no se responsabiliza de las inversiones realizadas con base en la información proporcionada en esta página. Recomendamostronencarecidamente realizar una investigación independientedent un profesional cualificado antes de tomar cualquier decisión de inversión.

Florencia Muchai
Florence lleva seis años cubriendo noticias sobre criptomonedas, videojuegos, tecnología e inteligencia artificial. Sus estudios de informática en la Universidad de Ciencia y Tecnología de Meru y su formación en Gestión de Desastres y Diplomacia Internacional en la MMUST le proporcionan una sólida base lingüística, capacidad de observación y habilidades técnicas. Florence ha trabajado en VAP Group y como editora para varios medios especializados en criptomonedas.
















