Investigadores de ciberseguridad han revelado detalles de una nueva campaña que utiliza WhatsApp como vector de distribución de un troyano bancario para Windows llamado Astarot en ataques contra Brasil.
La campaña tiene el nombre en clave. Boto Cor-de-Rosa por la Unidad de Investigación de Amenazas de Acronis.
«El malware recupera la lista de contactos de WhatsApp de la víctima y envía automáticamente mensajes maliciosos a cada contacto para propagar aún más la infección», explicó la empresa de ciberseguridad. dicho en un informe compartido con The Hacker News.
«Si bien la carga principal de Astaroth permanece escrita en Delphi y su instalador se basa en scripts de Visual Basic, el módulo de gusano basado en WhatsApp recién agregado se implementa completamente en Python, destacando el uso creciente de componentes modulares multilingües por parte de los actores de amenazas».
Astaroth, también llamado Guildma, es un malware bancario que se ha detectado en la naturaleza desde 2015, apuntando principalmente a usuarios en América Latina, particularmente Brasil, para facilitar el robo de datos. En 2024, se rastrearán múltiples grupos de amenazas como PIÑA y Makara de agua Se observó que aprovechaban los correos electrónicos de phishing para propagar el malware.
El uso de WhatsApp como vehículo de entrega de troyanos bancarios es una nueva táctica que ha ganado fuerza entre los actores de amenazas dirigidas a usuarios brasileños, una medida impulsada por el uso generalizado de la plataforma de mensajería en el país. El mes pasado, Trend Micro detallado La dependencia de Agua Saci de WhatsApp para difundir Maverick y una variante de Casbaneiro.
Sophos, en un informe publicado en noviembre de 2025, dijo que está rastreando una campaña de distribución de malware de varias etapas con nombre en código STAC3150 dirigida a usuarios de WhatsApp en Brasil con Astaroth. Más del 95% de los dispositivos afectados estaban ubicados en Brasil y, en menor medida, en Estados Unidos y Austria.
La actividad, activa al menos desde el 24 de septiembre de 2025, entrega archivos ZIP que contienen un script de descarga que recupera un script de PowerShell o Python para recopilar datos del usuario de WhatsApp para su posterior propagación, junto con un instalador MSI que implementa el troyano. Los últimos hallazgos de Acronis son una continuación de esta tendencia, donde los archivos ZIP distribuidos a través de mensajes de WhatsApp actúan como punto de partida para la infección de malware.
«Cuando la víctima extrae y abre el archivo, se encuentra con un script de Visual Basic disfrazado de archivo benigno», dijo la empresa de ciberseguridad. «La ejecución de este script desencadena la descarga de los componentes de la siguiente etapa y marca el comienzo del compromiso».
Esto incluye dos módulos:
- Un módulo de propagación basado en Python que reúne los contactos de WhatsApp de la víctima y reenvía automáticamente un archivo ZIP malicioso a cada uno de ellos, lo que conduce efectivamente a la propagación del malware en forma de gusano.
- Un módulo bancario que opera en segundo plano y monitorea continuamente la actividad de navegación web de la víctima y se activa cuando se visitan URL relacionadas con la banca para recopilar credenciales y permitir ganancias financieras.
«El autor del malware también implementó un mecanismo integrado para rastrear e informar métricas de propagación en tiempo real», dijo Acronis. «El código registra periódicamente estadísticas como la cantidad de mensajes entregados exitosamente, la cantidad de intentos fallidos y la tasa de envío medida en mensajes por minuto».
Fuente