Nuevo Gusano de WhatsApp Infecta Usuarios con Malware Bancario
Alexander Chapellin 10/13/2025 Ciberseguridad, Malware, Ciberataque, Del Mito al Control
3 Minutos

Un nuevo y sofisticado ataque de malware está usando WhatsApp como puerta de entrada para infectar dispositivos con troyanos bancarios, principalmente en Brasil. El objetivo: robar credenciales de acceso a cuentas de bancos y plataformas de criptomonedas.

Este gusano autopropagador, que comenzó a circular el 29 de septiembre de 2025, no es cualquier amenaza. Utiliza técnicas avanzadas para esquivar antivirus y otras barreras de seguridad, desplegando su ataque en varias etapas para pasar desapercibido.

Hasta ahora, el malware ya ha impactado a más de 400 empresas, comprometiendo más de 1.000 dispositivos, lo que deja claro que se trata de una campaña altamente efectiva y bien orquestada.

 

¿Te llegó un ZIP por WhatsApp Web? Podría ser un virus peligroso

 

El ataque arranca cuando la víctima recibe un archivo ZIP sospechoso por WhatsApp Web, enviado por un contacto que ya fue infectado.

Lo más preocupante es la táctica de ingeniería social que usan: el mensaje asegura que el archivo solo puede abrirse desde una computadora. Con esto, los atacantes logran que la víctima descargue y ejecute el malware directamente en su PC o laptop, donde puede causar mucho más daño que en un dispositivo móvil.

 

Zip Whatsapp

Mensaje de WhatsApp enviado desde un contacto de WhatsApp infectado (Fuente: Sophos)

 

Este tipo de ataque está claramente diseñado para ejecutarse en entornos donde el malware pueda instalarse con fuerza, mantenerse activo y desplegar todo su arsenal sin ser detectado.

Durante una investigación en varios incidentes ocurridos en Brasil, los expertos de Sophos descubrieron cómo funciona este mecanismo de infección, que combina persistencia, automatización y técnicas avanzadas de evasión.

Los atacantes no son improvisados: demuestran un conocimiento profundo de cómo funciona Windows por dentro y de las herramientas de administración como PowerShell. Usan técnicas de ofuscación muy bien elaboradas para que el malware pase desapercibido durante mucho tiempo.

La complejidad de la campaña deja entrever que hay actores con experiencia y recursos importantes detrás del ataque, posiblemente con conexiones al cibercrimen organizado y al ecosistema bancario brasileño.

 

Cadena de infección por PowerShell: Un ataque en varias etapas

 

Todo comienza con un archivo LNK malicioso, escondido dentro del archivo ZIP que llega por WhatsApp. Este archivo LNK, que parece inofensivo, es en realidad una trampa: al hacer doble clic, ejecuta un comando de Windows camuflado que activa el siguiente paso del ataque.

Ese comando está diseñado para lanzar un script de PowerShell, codificado en Base64 para evitar ser detectado fácilmente. Así arranca una cadena de infección en múltiples etapas, pensada para esquivar antivirus y ganar control total del sistema infectado.

 

 sophos-2

Cadena de infección (Fuente: Sophos)

 

El ataque continúa con un script de PowerShell que actúa en segundo plano, lanzando silenciosamente un proceso de Windows Explorer. Desde ahí, el malware descarga la siguiente fase del ataque desde varios servidores de comando y control (C2) controlados por los atacantes.

En esta segunda etapa, el código de PowerShell demuestra las técnicas avanzadas de evasión utilizadas por los cibercriminales. Durante el análisis, los investigadores descubrieron comentarios escritos en portugués dentro del código, donde el autor menciona directamente su intención de “agregar una exclusión en Microsoft Defender” y “deshabilitar el Control de Cuentas de Usuario (UAC)”.

Estas acciones están diseñadas para que el malware pueda operar sin restricciones ni alertas, evitando que el sistema de seguridad lo detecte o que el usuario necesite autorizar permisos adicionales.

La campaña también se adapta al entorno de la víctima, descargando una de dos cargas útiles diferentes según las características del sistema:

 

  1. Una herramienta legítima de automatización del navegador (Selenium) con su respectivo ChromeDriver, que permite a los atacantes tomar el control del navegador y secuestrar sesiones web activas de WhatsApp. Así, el gusano puede autopropagarse entre los contactos del usuario infectado.

  2. Un troyano bancario llamado Maverick, diseñado para monitorear el tráfico del navegador y detectar conexiones con bancos brasileños o plataformas de criptomonedas. Cuando lo hace, despliega malware adicional basado en .NET para robar credenciales e información financiera.

 

En conjunto, estas técnicas dejan claro que se trata de una campaña altamente sofisticada, con un enfoque claro en el robo de datos bancarios y en la expansión masiva del malware por medio de WhatsApp.

 

Podría interesarte leer: FileFix: Nuevo Ataque que Usa “Cache Smuggling” para Evadir Antivirus

 

¿Cómo protegerte de este gusano de WhatsApp?

 

En TecnetOne, sabemos que la mejor forma de protegerse contra amenazas como este gusano de WhatsApp es estar informado y tomar precauciones antes de que sea tarde. Aquí te dejamos algunos consejos prácticos para mantener tus dispositivos seguros:

 

1. Cuidado con los archivos y enlaces sospechosos: Aunque te lo envíe un amigo, si no esperabas ese ZIP o enlace, no lo abras. Mejor confirmar antes que lamentar.

2. Mantén todo actualizado: Un sistema sin actualizaciones es terreno fértil para los ataques. Actualiza tu sistema, navegador y antivirus con frecuencia.

3. Activa la protección en tiempo real: Funciones como Microsoft Defender o Google Play Protect pueden detectar amenazas antes de que hagan daño. Asegúrate de tenerlas activadas.

4. No ejecutes archivos dudosos en tu PC: Archivos como .lnk, .exe o .bat que llegan por WhatsApp Web pueden ser maliciosos. No los abras sin verificar su origen.

5. Comparte esta información con otros: Ya sea en tu familia o en el trabajo, hablar de estos riesgos ayuda a prevenir que más personas caigan en la trampa.

6. Usa 2FA y revisa tu actividad bancaria: Activa la verificación en dos pasos en tus cuentas bancarias y revisa regularmente si hay movimientos extraños.

 

¿Ya fuiste víctima? Esto es lo que debes hacer:

 

  1. Desconéctate de internet de inmediato

  2. Analiza tu equipo con un antivirus confiable

  3. Cambia tus contraseñas desde otro dispositivo

  4. Contacta a tu banco si crees que tus datos fueron comprometidos

 

En TecnetOne trabajamos para ayudarte a evitar riesgos antes de que se conviertan en problemas. La ciberseguridad empieza con decisiones simples, pero conscientes.

Tag:

Ciberseguridad Malware Ciberataque Del Mito al Control

Cárteles cibercriminales: la alianza que amenaza al mundo digital

Artículo Anterior
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Levi Yoris 03/26/2025 Ciberseguridad, Riesgos informaticos, Malware
Principales Motores de Búsqueda de la Dark Web en 2025
Jonathan Montoya 05/22/2025 Ciberseguridad, Ciberpatrullaje, Malware, Ciberataque
Los 10 Mejores Foros de la Deep Web y la Dark Web

Artículos Relacionados

Ciberseguridad, Ciberataque, Ransomware, Del Mito al Control
Adriana Aguilar 10/10/2025

LockBit, Qilin y DragonForce: Nueva Alianza entre Grupos de Ransomware

Tres de los grupos de ransomware más conocidos (DragonForce, LockBit y Qilin) han unido fuerzas en

Leer más
Ciberseguridad, Ciberataque, Ransomware, Del Mito al Control
Levi Yoris 10/09/2025

Ransomware en México: 237,000 Intentos de Ataque en el Último Año

Entre agosto de 2024 y julio de 2025, México fue blanco de 237,000 intentos de ataques de ransomware

Leer más
Ciberseguridad, Concientización, Del Mito al Control
Zoilijee Quero 10/08/2025

Cómo Conseguir Respaldo Ejecutivo para Programas de Ciberseguridad

A pesar de que las empresas invierten miles de millones en tecnologías de ciberseguridad cada año,

Leer más