La semana pasada informábamos sobre como las campañas de malware bancario en Brasil estaban aumentando de forma significativa, aprovechando plataformas de mensajería como WhatsApp para propagarse. El reciente hallazgo de un nuevo troyano operando en Brasil, muestra que este tipo de ataques, lejos de cesar, parecen estar aumentando de forma exponencial.

El nuevo troyano denominado Eternidade está diseñado para propagarse de forma autónoma por WhatsApp en Brasil, para luego intentar engañar a los usuarios y que entreguen sus credenciales bancarias. Investigadores del equipo de LevelBlue, lograron infiltrarse en la infraestructura de comando y control (C2) que sustenta este malware, y encontraron aproximadamente unos 10.000 sistemas infectados (la semana pasada hablábamos de menos de 2000), lo que subraya la rápida expansión del ataque en poblaciones específicas.

Para explicarlo mejor, el sitio DarkReading lo separó en dos partes:

En la primera mitad del ataque, actúa como un gusano: al infectar una máquina, el programa obtiene la lista completa de contactos de WhatsApp de la víctima y envía a todos ellos una copia de sí mismo. Pero no lo hace de forma indiscriminada: filtra los contactos de empresas y evita chats grupales. Los investigadores consideran que esto se debe a que los mensajes directos y personalizados tienen más probabilidades de éxito. Además, el malware incluye trucos para ganar credibilidad: autocompleta el nombre del destinatario y añade un saludo adaptado en portugués, según la hora real de envío.

El dropper original del malware estaba escrito en PowerShell, lo que es común en Brasil para este tipo de ataques, pero las variantes más nuevas se han programado en Python. Se sugiere que esto puede indicar la intención de los atacantes de apuntar a varias plataformas, y que sea capaz de ejecutarse en Linux o Mac. Esto supone un cambio notable en la táctica de propagación.

En la segunda mitad del ataque, el troyano realiza el robo de datos propiamente dicho. Primero verifica que el sistema operativo esté en portugués “brasileño”, que no esté en una red corporativa o entorno de sandbox y que no tenga programas de seguridad que lo detecten, es decir, que la víctima sea un usuario brasileño común. Si todas esas pruebas son superadas, carga la fase final escrita en Delphi (un lenguaje popular en el cibercrimen brasileño). Este componente escanea ventanas y procesos activos que indiquen que la víctima está usando un sitio bancario, fintech o de criptomonedas (como Banco do Brasil, Santander Brasil, Coinbase, Binance, MetaMask o Ledger Live) y si la víctima accede a cualquiera de esas plataformas, el malware les muestra una superposición que solicita sus credenciales de inicio de sesión para enviarlas al atacante.

Además, el malware es capaz de ejecutar comandos remotos para descargar, subir y exfiltrar archivos, capturar la pantalla, registrar pulsaciones de teclas, etc. Y lo más llamativo: incorpora un mecanismo “antiderribos” de su infraestructura de comando y control. Los atacantes incrustan credenciales en el malware que le permiten conectarse a un dominio de correo controlado por ellos; si el C2 es eliminado, pueden enviar un correo con una nueva dirección de C2 y el malware se conectará al nuevo destino.

¿Es sólo un problema de Brasil?

Este ataque muestra una capacidad de adaptación sofisticada, tanto en técnica como en diseño, dirigida a un público muy concreto: usuarios brasileños de a pie. Pero esto no debe generar tranquilidad al resto de la región. El hecho de que hayan desplegado una campaña tan sofisticada en Brasil, un país con idioma único en el continente y características particulares, debe ser una señal de alerta. Si operan exitosamente allí, no hay motivo para pensar que no puedan expandirse hacia otros países de América Latina donde se comparte el idioma español y patrones culturales similares, al menos entre países limítrofes. La propagación no está limitada por fronteras nacionales y la amenaza puede estar más cerca de lo que se cree.