WhatsApp: Nueva campaña Boto Cor-de-Rosa distribuye troyano bancario Astaroth en Brasil

by Editor de Tecnologia

Investigadores de ciberseguridad han revelado detalles de una nueva campaña que utiliza WhatsApp como vector de distribución para un troyano bancario de Windows llamado Astaroth, en ataques dirigidos a Brasil.

La campaña ha sido denominada Boto Cor-de-Rosa por la Unidad de Investigación de Amenazas de Acronis.

«El malware recupera la lista de contactos de WhatsApp de la víctima y envía automáticamente mensajes maliciosos a cada contacto para propagar aún más la infección», señaló la compañía de ciberseguridad en un informe compartido con The Hacker News.

«Si bien el núcleo del payload de Astaroth permanece escrito en Delphi y su instalador depende de un script de Visual Basic, el nuevo módulo de gusano basado en WhatsApp se implementa completamente en Python, lo que destaca el creciente uso de componentes modulares multilingües por parte de los actores de la amenaza.»

Astaroth, también conocido como Guildma, es un malware bancario que ha sido detectado en la naturaleza desde 2015, dirigido principalmente a usuarios en América Latina, particularmente en Brasil, para facilitar el robo de datos. En 2024, múltiples grupos de amenazas rastreados como PINEAPPLE y Water Makara fueron observados utilizando correos electrónicos de phishing para propagar el malware.

El uso de WhatsApp como vehículo de entrega para troyanos bancarios es una nueva táctica que ha ganado tracción entre los actores de amenazas que se dirigen a los usuarios brasileños, un movimiento impulsado por el uso generalizado de la plataforma de mensajería en el país. El mes pasado, Trend Micro detalló la dependencia de Water Saci en WhatsApp para propagar Maverick y una variante de Casbaneiro.

Sophos, en un informe publicado en noviembre de 2025, dijo que está rastreando una campaña de distribución de malware por etapas codificada como STAC3150 que se dirige a los usuarios de WhatsApp en Brasil con Astaroth. Más del 95% de los dispositivos afectados se encontraban en Brasil, y, en menor medida, en los Estados Unidos y Austria.

leer más  Ciberataques Irán: Riesgo y cómo protegerse

La actividad, activa desde al menos el 24 de septiembre de 2025, entrega archivos ZIP que contienen un script de descarga que recupera un script de PowerShell o Python para recopilar los datos de los usuarios de WhatsApp para una mayor propagación, junto con un instalador MSI que implementa el troyano. Los últimos hallazgos de Acronis son una continuación de esta tendencia, donde los archivos ZIP distribuidos a través de mensajes de WhatsApp actúan como un punto de partida para la infección por malware.

«Cuando la víctima extrae y abre el archivo, se encuentra con un script de Visual Basic disfrazado de archivo benigno», dijo la compañía de ciberseguridad. «La ejecución de este script desencadena la descarga de los componentes de la siguiente etapa y marca el comienzo del compromiso.»

Cybersecurity

Esto incluye dos módulos:

  • Un módulo de propagación basado en Python que recopila los contactos de WhatsApp de la víctima y reenvía automáticamente un archivo ZIP malicioso a cada uno de ellos, lo que conduce eficazmente a la propagación del malware de forma similar a un gusano.
  • Un módulo bancario que opera en segundo plano y monitorea continuamente la actividad de navegación web de la víctima, y se activa cuando se visitan URL relacionadas con la banca para obtener credenciales y permitir ganancias financieras.

«El autor del malware también implementó un mecanismo integrado para rastrear e informar las métricas de propagación en tiempo real», dijo Acronis. «El código registra periódicamente estadísticas como el número de mensajes entregados con éxito, el número de intentos fallidos y la velocidad de envío medida en mensajes por minuto.»

You may also like

Leave a Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.