Detectouse unha nova campaña de malware que emprega WhatsApp como principal canle de distribución para instalar troianos capaces de roubar rexistros, contactos e información sensible das vítimas.
Aínda que a actividade se identificou inicialmente en Brasil, este tipo de campañas adoita replicarse con rapidez noutros países, polo que se considera relevante a nivel preventivo para cidadáns e entidades de Galicia.
A campaña comeza con correos de phishing que conteñen arquivos comprimidos con scripts VBS moi ofuscados.
Unha vez executados, permiten aos atacantes:
- Propagarse aproveitando a confianza entre contactos de WhatsApp.
- Instalar troianos bancarios ou ferramentas de acceso remoto.
- Substraer contactos, rexistros do sistema e datos persoais.
- Mantérense persistentes e evitar solucións de seguridade.
Nivel de severidade asignado: MEDIA
A severidade establécese en MEDIA pola seguinte razón:
- A campaña está confirmada en Brasil pero sen evidencia actual de propagación activa en España ou Galicia.
- O vector utilizado (WhatsApp) é moi efectivo e podería expandirse con facilidade.
- A técnica coincide con campañas latinoamericanas que no pasado si chegaron a Europa.
Recomendacións
Para cidadáns
- Non abrir arquivos comprimidos, ligazóns ou executables recibidos por WhatsApp, mesmo se proceden de contactos coñecidos.
- Comprobar sempre a autenticidade do remitente: preguntar por outro canal.
- Manter o móbil e as aplicacións actualizados.
- Utilizar solucións de seguridade para móbiles.
Para empresas e administracións
- Bloquear a execución de scripts VBS non asinados en equipos corporativos.
- Revisar logs de conexións sospeitosas.
- Reforzar campañas internas de concienciación sobre phishing.
- Monitorizar intentos de instalación de troianos bancarios coñecidos en Brasil (Guildma, Mekotio, Grandoreiro, etc.).
Indicadores de compromiso (xenéricos)
(Sen IoCs oficiais publicados ata o momento.)
- Arquivos comprimidos: .zip, .rar, .7z
- Scripts .vbs con cadeas ofuscadas ou dobre extensión.
- Conexións saíntes a dominios de recente creación.
- Comportamento anómalo en WhatsApp (mensaxes enviados sen que o usuario os escriba).
Estado
En vixilancia.
Actualizarase se se confirma a expansión da campaña ou se publican IoCs oficiais.
