Se ha identificado una nueva campaña de malware que utiliza WhatsApp como canal principal de distribución para instalar troyanos capaces de robar registros, contactos y datos sensibles de las víctimas.
Aunque la actividad se ha detectado inicialmente en Brasil, este tipo de campañas suele replicarse rápidamente en otros países, por lo que se considera relevante a nivel preventivo para ciudadanos y entidades en Galicia.
La campaña comienza mediante correos de phishing que contienen archivos comprimidos con scripts VBS altamente ofuscados.
Estos scripts, una vez ejecutados, permiten que los atacantes:
- Se distribuyan aprovechando la confianza entre contactos de WhatsApp.
- Instalen troyanos bancarios o herramientas de acceso remoto.
- Sustraigan contactos, registros del sistema y datos personales.
- Mantengan persistencia y evadan soluciones de seguridad.
El uso de WhatsApp como vector principal aumenta el riesgo por la elevada tasa de clic en mensajes provenientes de contactos conocidos.
Nivel de severidad asignado: MEDIA
La severidad se establece en MEDIA debido a:
- La campaña está confirmada en Brasil pero sin evidencia actual de propagación activa en España o Galicia.
- El vector utilizado (WhatsApp) es altamente efectivo y podría extenderse fácilmente.
- La técnica utilizada coincide con campañas latinoamericanas que en el pasado sí han llegado a Europa.
Recomendaciones
Para ciudadanos
- No abrir archivos comprimidos, enlaces o ejecutables recibidos por WhatsApp, incluso si provienen de contactos conocidos.
- Verificar siempre la autenticidad del remitente: preguntar por otro canal.
- Mantener el móvil y las apps actualizadas.
- Usar soluciones de seguridad móvil.
Para empresas y administraciones
- Bloquear la ejecución de scripts VBS no firmados en equipos corporativos.
- Revisar logs de conexiones salientes sospechosas.
- Reforzar campañas internas de concienciación sobre phishing.
- Monitorizar intentos de instalación de troyanos bancarios conocidos en Brasil (Guildma, Mekotio, Grandoreiro, etc.).
Indicadores de compromiso (genéricos)
(Nota: Sin IoCs oficiales confirmados. Cuando un CERT publique IoCs, se añadirán.)
- Archivos comprimidos con extensiones: .zip, .rar, .7z
- Scripts: .vbs con cadenas ofuscadas o doble extensión.
- Conexiones salientes a dominios recién creados o sin reputación.
- Comportamiento anómalo en WhatsApp (mensajes enviados sin que el usuario los redacte).
Estado
En vigilancia.
A la espera de confirmación de CERT-BR, laboratorios de seguridad o datos que indiquen expansión fuera de Brasil.
