(https://i.imgur.com/P5Pkkay.jpeg)
Investigadores de ciberseguridad han alertado sobre una sofisticada y creciente campaña maliciosa que combina ingeniería social, secuestro de WhatsApp y malware bancario avanzado para comprometer a usuarios en Brasil. El ataque utiliza como carga principal Eternidade Stealer, un troyano bancario desarrollado en Delphi que está ganando relevancia entre actores maliciosos en América Latina por su capacidad de robar credenciales financieras, datos personales y activos de criptomonedas.
El análisis técnico, realizado por Trustwave SpiderLabs, expone cómo los atacantes han diseñado una cadena de infección altamente automatizada, modular y difícil de detectar, aprovechando el ecosistema de WhatsApp como vector principal para propagarse de forma masiva.
Un ataque que utiliza IMAP y servidores C2 dinámicosUna de las particularidades más llamativas de esta campaña es el uso del Protocolo de Acceso a Mensajes de Internet (IMAP) para recuperar dinámicamente direcciones de comando y control (C2). Este mecanismo permite que los operadores maliciosos actualicen su infraestructura sin necesidad de desplegar nuevas variantes del malware, aumentando su resiliencia y dificultando la detección.
Según los investigadores, esta técnica es muy similar a la implementada por la reciente campaña Water Saci, que distribuye el gusano SORVEPOTEL como paso previo al troyano bancario Maverick, una evolución del malware Coyote.
WhatsApp, el vector preferido para expandir la infecciónEl abuso de WhatsApp como plataforma de propagación se ha convertido en una tendencia creciente en Brasil, donde la aplicación tiene una penetración superior al 90 %. Eternidade Stealer forma parte de un ecosistema más amplio de amenazas centradas en explotar esta dependencia nacional.
En esta campaña, los atacantes sustituyeron los scripts antiguos en PowerShell por un script en Python, lo que representa un cambio estratégico para:
- Automatizar de forma más eficiente la toma de control de WhatsApp.
- Adaptarse mejor a entornos multiplataforma.
- Eludir las detecciones asociadas a PowerShell.
Este script se basa en WPPConnect, un proyecto de código abierto que permite automatizar mensajes de WhatsApp Web. Una vez en ejecución, el malware obtiene la lista completa de contactos de la víctima, excluyendo grupos, contactos comerciales y listas de difusión, con el fin de maximizar la tasa de infección individual.
El script recopila para cada contacto:
- Número telefónico.
- Nombre.
- Si está guardado o no en la agenda.
Después, el malware envía esta información al servidor del atacante y procede a reenviar un archivo adjunto malicioso a todos los contactos, utilizando una plantilla personalizada con saludos y nombres dinámicos que aumentan la credibilidad del mensaje.
Una cadena de infección doble y muy elaboradaEl punto inicial del ataque es un script de Visual Basic (VBS) ofuscado, cuyos comentarios están redactados principalmente en portugués. Este script despliega dos componentes diferentes:
- Un script en Python, que activa el gusano de WhatsApp.
- Un instalador MSI, que entrega un script AutoIt para instalar Eternidade Stealer.
El instalador MSI está diseñado para operar exclusivamente en sistemas de Brasil: verifica que el idioma del sistema operativo sea portugués brasileño y, si no coincide, se autoelimina. Esta técnica de geovallado inverso demuestra que los atacantes buscan minimizar su exposición y focalizarse únicamente en su objetivo.
Además, el script AutoIt analiza procesos en ejecución, claves de registro y productos de seguridad instalados. Una vez que perfila la máquina, reporta toda la información a un C2 remoto.
La carga final se inyecta en el proceso svchost.exe mediante process hollowing, camuflando la actividad maliciosa dentro de un proceso legítimo del sistema.
Eternidade Stealer: un ladrón bancario sigiloso y adaptado a LatinoaméricaEl troyano bancario Eternidade Stealer está programado en Delphi, un lenguaje ampliamente enseñado en Brasil y otros países de América Latina, lo que facilita su desarrollo y mantenimiento por parte de actores locales.
El malware permanece inactivo hasta identificar una ventana o proceso relacionado con:
- Bancos como Bradesco y BTG Pactual.
- Plataformas de pago como MercadoPago o Stripe.
- Exchanges y wallets como Binance, Coinbase, MetaMask o Trust Wallet.
Cuando detecta actividad en una de estas aplicaciones, contacta con un C2 cuyos datos se obtienen desde una cuenta de correo alojada en terra.com.br, otra técnica compartida con la campaña Water Saci. Esta arquitectura permite modificar infraestructuras de forma rápida y silenciosa.
Si falla la conexión con la cuenta de correo, el malware recurre a un C2 alternativo incrustado en el código.
Una vez conectado, Eternidade permite a los atacantes ejecutar órdenes como:
- Recolectar información del sistema.
- Monitorear ventanas activas.
- Enviar superposiciones falsas para robar credenciales.
- Registrar pulsaciones, capturar pantallas y extraer archivos.
Infraestructura restringida por geovallado, pero exposición globalEl análisis de Trustwave permitió identificar dos paneles de administración utilizados por los operadores de la campaña. El sistema solo permite acceso a máquinas ubicadas en Brasil y Argentina, pero registra todas las conexiones externas, que son redirigidas a "google[.]com/error".
De 454 conexiones registradas, solo 2 provenían de ubicaciones permitidas. El resto procedía de países como:
- Estados Unidos
- Países Bajos
- Alemania
- Reino Unido
- Francia
- Brasil
Aunque la campaña está claramente orientada a Brasil, la infraestructura revela una exposición global inevitable.
Una campaña avanzada y persistente que exige atención inmediataLa combinación de ingeniería social, secuestro de WhatsApp, técnicas de evasión avanzadas, automatización por Python y uso de IMAP-C2 convierte esta campaña en una de las amenazas más sofisticadas actualmente dirigidas a usuarios brasileños.
Los expertos recomiendan estar alerta ante:
- Mensajes inesperados en WhatsApp con archivos adjuntos.
- Ejecución no solicitada de scripts o instaladores MSI.
- Indicadores vinculados a Eternidade Stealer o su infraestructura asociada.
Esta operación demuestra nuevamente que los atacantes están explotando la dependencia regional de WhatsApp para escalar sus campañas de malware bancario con gran eficacia.
Fuente: https://thehackernews.com/