Una nueva campaña que involucra al malware bancario Astaroth pone de manifiesto un cambio en la forma en que se distribuye el delito financiero cibernético. Rastreada por investigadores de seguridad como “Boto Cor-de-Rosa”, la campaña utiliza WhatsApp Web como canal de propagación, permitiendo que el malware envíe automáticamente archivos infectados a los contactos personales de la víctima. Al explotar las relaciones de confianza y el comportamiento cotidiano de mensajería, los atacantes pueden propagar el malware rápidamente, apuntando principalmente a las credenciales bancarias de usuarios en Brasil.
El ataque comienza cuando los usuarios reciben un archivo ZIP a través de WhatsApp que parece ser un documento rutinario compartido por un contacto conocido. Abrir el archivo desencadena un script oculto que instala el malware sin signos claros de compromiso. Una vez desplegado, el malware opera silenciosamente en segundo plano y establece persistencia en el sistema.
Tras la instalación, el malware ejecuta dos operaciones paralelas. Una se centra en la propagación, accediendo a los contactos de WhatsApp de la víctima y enviando automáticamente archivos maliciosos utilizando un lenguaje casual y familiar diseñado para parecer legítimo. La segunda funciona como un troyano bancario, monitorizando la actividad del usuario y activándose cuando se accede a sitios web financieros o bancarios, permitiendo el robo de credenciales y transacciones fraudulentas.
La campaña se basa en gran medida en técnicas de ingeniería social. Los mensajes se adaptan utilizando saludos apropiados para el momento, como “Buenos días”, “Buenas tardes” o “Buenas noches”, según la hora local del destinatario. Esta contextualización hace que los mensajes parezcan rutinarios y confiables, aumentando la probabilidad de que los destinatarios abran el archivo adjunto y continúen la cadena de infección.
El malware también incluye mecanismos de seguimiento para medir la eficacia de su propagación. Recopila las listas de contactos de las víctimas y registra las métricas de entrega, lo que permite a los atacantes monitorizar el alcance y ajustar las estrategias de propagación en tiempo real. Estas características apuntan a un alto nivel de organización y madurez operativa detrás de la campaña.
Aunque la actividad hasta ahora se ha concentrado en Brasil y utiliza mensajes en portugués, la técnica subyacente no es específica de la región. Enfoques similares podrían adaptarse a otros idiomas, regiones y plataformas de mensajería. A medida que la mensajería instantánea continúa siendo ampliamente utilizada para la comunicación personal y laboral, estas plataformas se están aprovechando cada vez más como canales de alta confianza para la distribución de malware.
La campaña ilustra una tendencia más amplia en la ciberdelincuencia, donde los atacantes van más allá de la entrega basada en el correo electrónico y aprovechan las herramientas de comunicación familiares para evitar las sospechas de los usuarios y los supuestos de seguridad tradicionales.
