Investigadores de Trustwave SpiderLabs alertaron sobre una operación que combina ingeniería social, gusanos automatizados y un troyano bancario escrito en Delphi y Python, capaz de robar credenciales financieras, secuestrar cuentas y expandirse rápidamente por WhatsApp.
Investigadores de Trustwave SpiderLabs reportaron recientemente una nueva campaña de malware originada en Brasil que utiliza WhatsApp como canal principal de distribución. Se trata de la propagación de Eternidade Stealer, un troyano bancario de nueva generación que utiliza WhatsApp como vía principal para infiltrarse en dispositivos de escritorio y obtener credenciales asociadas a bancos, fintech y servicios de criptomonedas. Los investigadores de Trustwave SpiderLabs describieron la operación como un ejemplo de la “evolución técnica del cibercrimen brasileño”, tanto por su capacidad de propagación como por su sofisticación interna.
El ataque parte de un archivo VBScript ofuscado que llega mediante mensajes de WhatsApp disfrazados como notificaciones de agencias públicas, actualizaciones de entrega o incluso mensajes provenientes de contactos reales. Al ejecutarse, el script descarga dos componentes: un gusano programado en Python que automatiza el envío de mensajes y roba contactos, y un instalador MSI que despliega el troyano bancario, creado en Delphi.
Según los analistas, este gusano marca una diferencia frente a campañas anteriores: “WhatsApp contact theft and automated message distribution” permiten que el malware tome control de la cuenta de la víctima, adapte el saludo según la hora del día e inserte automáticamente el nombre del destinatario para aumentar la probabilidad de clic. En paralelo, se emplean librerías como wppconnect-w.js para extraer la lista completa de contactos y enviarlos al servidor del atacante.
Eternidade Stealer solo ejecuta su carga útil cuando detecta que el sistema está configurado en portugués brasileño. Una vez activo, inspecciona el dispositivo en busca de aplicaciones de bancos como Itaú, Santander, Bradesco, Caixa, MercadoPago o Binance. Cuando identifica alguna interacción bancaria, despliega overlays fraudulentos destinados a capturar credenciales. La función de “dynamic C2 discovery using IMAP” destaca entre sus capacidades, ya que el troyano inicia sesión en una cuenta de correo codificada para obtener instrucciones actualizadas y solo recurre a un servidor C2 estático si el correo no está disponible. Los investigadores calificaron este mecanismo como clave para evadir desactivaciones y mantener la persistencia.
Las autoridades brasileñas advierten que esta campaña está estrechamente ligada a un aumento de ataques contra usuarios de criptomonedas, donde los delincuentes combinan técnicas de selección de contactos, ingeniería social y manipulación psicológica. Por su parte, los investigadores señalaron que “la combinación de gusano y troyano de WhatsApp apunta a usuarios de cripto brasileños con secuestros de cuentas sigilosos”.
A pesar de su orientación regional, la infraestructura del ataque revela un alcance más amplio. Un panel de redirección vinculado al dominio inicial registró 454 intentos de conexión desde 38 países, incluidos Estados Unidos, Alemania, Francia y Países Bajos. La mayoría provenía de sistemas de escritorio, lo que coincide con que el malware está diseñado para ambientes de PC. Solo tres interacciones correspondieron a Brasil, un dato que los investigadores atribuyen a bloqueos geográficos implementados por los operadores del ataque.
Los especialistas advierten que el comportamiento del troyano no solo permite robo de credenciales, también ejecuta reconocimiento local, evade antivirus, realiza process hollowing, captura ventanas del navegador y acepta comandos remotos para extraer archivos o registrar teclas. Como resumen, los expertos llaman a permanecer atentos ante “suspicious WhatsApp activity, unexpected MSI or script executions” y cualquier archivo recibido por mensajería que provenga de fuentes dudosas.