Investigadores de Trustwave SpiderLabs identificaron una nueva campaña de malware dirigida a usuarios brasileños. La operación combina un gusano distribuido por WhatsApp con el troyano bancario Eternidade Stealer, creando una cadena de infección capaz de recolectar credenciales de bancos, exchanges y billeteras de criptomonedas.
La investigación señala que el ataque comienza con el envío automático de mensajes desde la propia cuenta de WhatsApp del usuario comprometido. El gusano, desarrollado en Python, automatiza el envío de archivos o enlaces a contactos individuales. De esta forma, evita listas de difusión y grupos, lo que reduce los mecanismos de detección y aumenta las probabilidades de éxito de la campaña.
Funcionamiento del ataque
Después de alcanzar el dispositivo, el código malicioso entrega un instalador en formato MSI. Ese instalador libera el troyano Eternidade Stealer, desarrollado en Delphi. El malware monitorea aplicaciones bancarias y billeteras digitales instaladas en el sistema, pudiendo capturar datos sensibles como contraseñas, claves privadas y frases semilla utilizadas en billeteras de criptomonedas.
Con esto, los atacantes obtienen acceso para mover activos financieros y digitales almacenados por el usuario, incluyendo fondos en exchanges como Binance, Coinbase, Trust Wallet y MetaMask.
El análisis de Trustwave muestra que la campaña utiliza verificaciones de idioma y geolocalización para limitar la infección a objetivos brasileños. El malware detiene su ejecución si el idioma del sistema no está configurado como portugués de Brasil.
Además, cuenta con geofencing activo para restringir los ataques al país y a Sudamérica. Aun así, los investigadores observaron intentos de comunicación remota originados en diversos países, lo que indica operaciones paralelas o pruebas internacionales.
Impactos y riesgos para los usuarios
La infección puede generar varias consecuencias, entre ellas la exposición de credenciales bancarias y cripto, movimientos financieros no autorizados, captura de claves privadas y clonación de la agenda de contactos. Otro riesgo destacado es la dificultad para identificar el ataque, ya que el gusano utiliza la propia cuenta de WhatsApp para enviar mensajes, mientras el troyano permanece inactivo hasta que se abren aplicaciones financieras.
Las buenas prácticas de seguridad digital siguen siendo esenciales. La recomendación es evitar hacer clic en archivos MSI, scripts o enlaces enviados por WhatsApp sin verificación previa. Mantener actualizado el sistema operativo, el antivirus y las aplicaciones también reduce vulnerabilidades.
Los usuarios de criptomonedas deben mantener activada la autenticación en dos factores y revisar regularmente la lista de dispositivos conectados. Si hay señales de comportamiento anormal, como mensajes automáticos, instalación de aplicaciones desconocidas o actividades inesperadas, la orientación es desconectar el dispositivo de internet y cambiar las contraseñas inmediatamente.
Alerta para el sector financiero digital
La campaña señala una tendencia creciente: ataques que explotan aplicaciones de mensajería para alcanzar usuarios de bancos digitales, billeteras y exchanges.
Como el punto inicial de infección suele ocurrir en dispositivos personales, las empresas del sector cripto y fintech deben reforzar sus políticas de verificación y monitoreo, ya que el riesgo se extiende al entorno corporativo.