Investigadores de ciberseguridad han revelado detalles de una nueva campaña que utiliza WhatsApp como vector de distribución de un troyano bancario de Windows llamado Astaroth en ataques dirigidos a Brasil.
La campaña tiene el nombre en esencia. Boto Cor-de-Rosa por la Pelotón de Investigación de Amenazas de Acronis.
“El malware recupera la tira de contactos de WhatsApp de la víctima y envía automáticamente mensajes maliciosos a cada contacto para propagar aún más la infección”, dijo la empresa de ciberseguridad en un crónica compartido con The Hacker News.
“Si acertadamente la carga principal de Astaroth permanece escrita en Delphi y su instalador se podio en scripts de Visual Basic, el módulo de oruga basado en WhatsApp recién complemento se implementa completamente en Python, destacando el uso creciente de componentes modulares multilingües por parte de los actores de amenazas”.
Astaroth, igualmente llamado Guildma, es un malware bancario que se ha detectado en estado salvaje desde 2015 y se dirige principalmente a usuarios de América Latina, particularmente Brasil, para favorecer el robo de datos. En 2024, se observó que varios grupos de amenazas rastreados como PINEAPPLE y Water Makara aprovechaban los correos electrónicos de phishing para propagar el malware.
El uso de WhatsApp como transporte de entrega de troyanos bancarios es una nueva táctica que ha yeguada fuerza entre los actores de amenazas dirigidas a usuarios brasileños, una medida impulsada por el uso generalizado de la plataforma de correo en el país. El mes pasado, Trend Micro detalló la dependencia de Water Saci de WhatsApp para difundir Maverick y una variable de Casbaneiro.
Sophos, en un crónica publicado en noviembre de 2025, dijo que está rastreando una campaña de distribución de malware de varias etapas con nombre en código STAC3150 dirigida a usuarios de WhatsApp en Brasil con Astaroth. Más del 95% de los dispositivos afectados estaban ubicados en Brasil y, en pequeño medida, en Estados Unidos y Austria.
La actividad, activa al menos desde el 24 de septiembre de 2025, entrega archivos ZIP que contienen un script de descarga que recupera un script de PowerShell o Python para resumir datos del favorecido de WhatsApp para su posterior propagación, cercano con un instalador MSI que implementa el troyano. Los últimos hallazgos de Acronis son una continuación de esta tendencia, donde los archivos ZIP distribuidos a través de mensajes de WhatsApp actúan como punto de partida para la infección de malware.
“Cuando la víctima extrae y abre el archivo, se encuentra con un script de Visual Basic disfrazado de archivo complaciente”, dijo la empresa de ciberseguridad. “La ejecución de este script desencadena la descarga de los componentes de la posterior etapa y marca el manifestación del compromiso”.
Esto incluye dos módulos:
- Un módulo de propagación basado en Python que reúne los contactos de WhatsApp de la víctima y reenvía automáticamente un archivo ZIP solapado a cada uno de ellos, lo que conduce efectivamente a la propagación del malware en forma de oruga.
- Un módulo bancario que opera en segundo plano y monitorea continuamente la actividad de navegación web de la víctima y se activa cuando se visitan URL relacionadas con la banca para resumir credenciales y permitir ganancias financieras.
“El autor del malware igualmente implementó un mecanismo integrado para rastrear e informar métricas de propagación en tiempo vivo”, dijo Acronis. “El código registra periódicamente estadísticas como la cantidad de mensajes entregados exitosamente, la cantidad de intentos fallidos y la tasa de remesa medida en mensajes por minuto”.
