Los troyanos bancarios vuelven a ser protagonistas en Brasil, donde diversas campañas de ciberataques han afectado a cientos de organizaciones y usuarios. De acuerdo con investigaciones de la empresa CyberProof, dos amenazas en particular, Coyote y Maverick, se han expandido a gran velocidad mediante WhatsApp en computadoras de escritorio, robando credenciales financieras y de criptomonedas.

Ambos comparten un modo de propagación muy similar: los usuarios reciben un mensaje con un archivo ZIP y la instrucción de ejecutarlo desde una PC. Dentro del paquete se oculta un acceso directo en formato LNK que, al abrirse, ejecuta código PowerShell para iniciar un ataque por etapas, conectarse a un servidor de comando y control, y extraer datos sensibles. Además, tienen la capacidad de autorreplicarse enviándose a los contactos del usuario infectado.

Los investigadores remarcan que el impacto ha sido significativo. Sophos, otra firma de seguridad que monitorea estas campañas, ha registrado actividad en más de 400 entornos de clientes y 1.000 endpoints, casi todos ubicados en Brasil. Los principales afectados pertenecen al sector público, aunque también se identificaron casos en industria, tecnología, educación y construcción.

Una característica llamativa de Maverick es que verifica si la víctima está ubicada en Brasil y, en caso contrario, se autodestruye. Aunque el país es conocido por la alta incidencia de malware bancario, una campaña tan localizada resulta inusual.

Expertos como Jon Baker, de AttackIQ, explican este foco geográfico: con más de 148 millones de usuarios de WhatsApp en Brasil, la plataforma se convierte en un canal ideal para ataques masivos contra instituciones financieras. Por este motivo, las empresas de seguridad recomiendan capacitación constante, mejores controles de acceso y herramientas de monitoreo en tiempo real para enfrentar una amenaza que continúa evolucionando.

Fuente: DarkReading