Brasil alerta a los usuarios de criptomonedas sobre la nueva campaña de malware en WhatsApp que despliega un gusano de secuestro

Fuente: CoinEdition Título original: Brasil advierte a los usuarios de criptomonedas sobre una nueva campaña de malware en WhatsApp que despliega un gusano secuestrador Enlace original: https://coinedition.com/brazil-alerts-crypto-users-to-new-whatsapp-malware-campaign-deploying-hijacking-worm/ Las autoridades brasileñas y analistas de ciberseguridad han alertado sobre una campaña de malware de rápida propagación que utiliza mensajes de WhatsApp para dirigirse a usuarios de criptomonedas mediante el secuestro automatizado de cuentas y un troyano bancario sofisticado.

La operación, identificada por investigadores de Trustwave SpiderLabs, vincula un gusano propagado por WhatsApp con una herramienta de amenaza conocida como Eternidade Stealer, que permite a los atacantes obtener credenciales bancarias, accesos a exchanges de criptomonedas y otra información financiera sensible de dispositivos infectados.

Investigadores rastrean actividad coordinada a través de señuelos en WhatsApp

Según los investigadores de SpiderLabs Nathaniel Morales, John Basmayor y Nikita Kazymirskyi, la campaña se basa en mensajes de ingeniería social que imitan avisos gubernamentales, actualizaciones de entrega, grupos de inversión fraudulentos o incluso contactos de amigos.

Una vez que la víctima abre el enlace malicioso, tanto el gusano como el troyano bancario se instalan simultáneamente. El gusano captura inmediatamente la cuenta de WhatsApp de la víctima, extrae la lista de contactos y filtra grupos o números de negocios para priorizar el targeting uno a uno.

Durante este proceso, el troyano complementario entrega la carga útil de Eternidade Stealer. El malware escanea entonces el sistema en busca de credenciales vinculadas a plataformas bancarias brasileñas, cuentas fintech y servicios relacionados con criptomonedas, incluyendo wallets y exchanges. Los investigadores argumentan que esta estructura de doble fase se ha vuelto cada vez más común en el ecosistema de cibercrimen de Brasil, que ha utilizado WhatsApp en campañas pasadas, como Water Saci, que abarca 2024 y 2025.

El malware utiliza recuperación de comandos vía Gmail para evadir eliminaciones

Los investigadores informan que el malware evita las interrupciones tradicionales en la red usando una cuenta de Gmail preestablecida para recibir comandos actualizados. En lugar de depender de un servidor de comando y control (C2) fijo, inicia sesión en la dirección de correo electrónico codificada, verifica las instrucciones más recientes y solo recurre a un dominio C2 estático si el correo no está disponible. SpiderLabs se refirió a este método como una forma de mantener la persistencia mientras reduce la probabilidad de detección.

Datos del panel de redirección revelan huella global

Durante el mapeo de infraestructura, los analistas vincularon el dominio inicial con un servidor que aloja múltiples paneles de actores de amenazas, incluido un Sistema de Redirección utilizado para rastrear conexiones entrantes. De las 453 visitas registradas, 451 fueron bloqueadas por restricciones geográficas, permitiendo solo Brasil y Argentina.

Sin embargo, los datos de registro mostraron 454 intentos de comunicación en 38 países, incluyendo Estados Unidos (196), Países Bajos (37), Alemania (32), Reino Unido (23) y Francia (19). Solo tres interacciones provinieron de Brasil.

El panel también registró estadísticas del sistema operativo indicando que el 40% de las conexiones provino de sistemas no identificados, seguidas por Windows (25%), macOS (21%), Linux (10%) y Android (4%). Los investigadores afirmaron que los datos muestran que la mayoría de las interacciones ocurrieron desde entornos de escritorio.