Los investigadores de Counter Threat Unit™ (CTU) están investigando varios incidentes en una campaña en curso dirigida a los usuarios de la plataforma de mensajería WhatsApp. La campaña, que comenzó el 29 de septiembre de 2025, se centra en Brasil y busca engañar a los usuarios para que ejecuten un archivo malicioso adjunto a un mensaje que se propaga automáticamente y que se recibe desde una sesión web de WhatsApp previamente infectada. Si se ejecuta, el gusano intenta replicarse en los contactos de WhatsApp de la víctima e instalar un troyano bancario diseñado específicamente para bancos brasileños y plataformas de intercambio de criptomonedas.
En un incidente observado por los analistas de Sophos, un usuario descargó un archivo ZIP a través de la versión web de la plataforma de mensajería WhatsApp. Los informes de terceros sobre actividades similares revelan que el archivo estaba adjunto a un mensaje de WhatsApp procedente de un contacto de WhatsApp. El mensaje indicaba que el contenido solo podía verse en un ordenador (véase la figura 1), una estratagema para garantizar que el destinatario abriera el archivo en un ordenador de sobremesa en lugar de en un dispositivo móvil. El archivo contenía un archivo LNK malicioso de Windows que, al ejecutarse, iniciaba una serie de comandos maliciosos de PowerShell.
El campo de destino del archivo LNK contenía un comando de Windows ofuscado que construía y ejecutaba un comando PowerShell inicial codificado en Base64. El comando PowerShell de primera fase iniciaba de forma encubierta un proceso Explorer que descargaba el comando PowerShell de la siguiente fase desde un servidor de comando y control (C2) remoto alojado en hxxps://www.zapgrande[.]com (véase la Figura 2).
El comando PowerShell de segunda fase descargado intentó modificar los controles de seguridad locales. Los comentarios escritos en portugués en PowerShell indicaban explícitamente los objetivos de evasión de la defensa del autor: «añadir una exclusión en Microsoft Defender» y «desactivar UAC» (véase la Figura 3).
En el momento de esta publicación, Sophos ha detectado actividad de PowerShell de primera fase en más de 400 entornos de clientes en más de 1000 endpoints. Los archivos comprimidos siguen varios patrones de nomenclatura, entre ellos NEW-20251001_150505-XXX_XXXXXXX.zip, ORCAMENTO_XXXXXXX.zip y COMPROVANTE_20251002_XXXXXXX.zip. «Orcamento» y «Comprovante» significan «presupuesto» y «comprobante» en portugués. Se observaron tres dominios C2 únicos y se identificó una carga útil adicional en cinco infecciones. Esta carga útil adicional era la herramienta legítima de automatización del navegador Selenium, que permitía controlar las sesiones del navegador en ejecución en el host infectado.
El análisis de Sophos de los casos de Selenium sigue en curso, pero las etapas iniciales de la infección y la presencia de la carga útil de Selenium coinciden con los informes de terceros que describen la misma campaña que entrega dos posibles cargas útiles a los endpoints infectados: una instancia de Selenium con un ChromeDriver coincidente y un troyano bancario llamado Maverick. Ambas cargas útiles se entregaron a través de la misma infraestructura C2 y solo a hosts que superaron una serie de comprobaciones antianálisis. El implante Maverick supervisaba las sesiones activas del navegador en busca de conexiones a una lista de URL asociadas a bancos brasileños y plataformas de intercambio de criptomonedas. Cuando el tráfico coincidía con un dominio financiero objetivo, se instalaba un troyano bancario .NET con numerosas funciones.
Los investigadores de Sophos también están investigando los posibles vínculos entre la campaña en curso y una serie de campañas anteriores que distribuyeron un troyano bancario llamado Coyote dirigido a usuarios de Brasil. Coyote se denunció por primera vez en febrero de 2024 y se distribuyó como un actualizador de aplicaciones de Windows creado con la utilidad Squirrel. En enero de 2025, los autores de las amenazas utilizaron archivos LNK maliciosos para iniciar una cadena de infección de PowerShell en varias etapas que infectaba los hosts con cargas útiles de Coyote creadas con la herramienta de generación de código shell Donut. Un informe de mayo de 2025 intentó vincular campañas anteriores de malware Coyote con el troyano bancario Coyote que se distribuyó a través de mensajes de WhatsApp Web en enero. Ninguna de las infecciones observadas por Sophos en la campaña de septiembre dio lugar a la entrega de una carga útil de troyano bancario, pero los pocos casos de Selenium probablemente dieron lugar al secuestro de sesiones web de WhatsApp y a la autopropagación (véase la Figura 4). Los investigadores de Sophos están trabajando para determinar de forma independiente si Maverick es una evolución de Coyote.
Los investigadores de CTU™ recomiendan que las organizaciones eduquen a sus empleados sobre los riesgos de abrir archivos adjuntos sospechosos enviados a través de las redes sociales y las plataformas de mensajería instantánea, incluso si se reciben de contactos conocidos. Una respuesta rápida a la detección de ejecuciones sospechosas de PowerShell puede contener las infecciones en las primeras etapas de la cadena de ataque.
Los indicadores de amenaza de la Tabla 1 pueden utilizarse para detectar actividades relacionadas con esta amenaza. Los dominios pueden contener contenido malicioso, por lo que deben tenerse en cuenta los riesgos antes de abrirlos en un navegador.
| Indicador | Tipo | Contexto |
| expansiveuser . com | Nombre de dominio | Servidor C2 utilizado en la campaña de gusanos de WhatsApp |
| zapgrande . com | Nombre de dominio | Servidor C2 utilizado en la campaña de gusanos de WhatsApp |
| sorvetenopote . com | Nombre de dominio | Servidor C2 utilizado en la campaña de gusanos de WhatsApp |
Tabla 1. Indicadores de esta amenaza.
Los casos de Sophos MDR (detección y respuesta gestionadas) que crean detecciones relacionadas con esta amenaza se detallan en la tabla 2.
| Nombre | Descripción |
| WIN-EXE-PRC-POWERSHELL-WITH-BASE64-START-1 | Detecta procesos sospechosos de PowerShell con una línea de comandos que comienza con comandos sospechosos codificados en Base64 |
| WIN-EXE-PRC-POWERSHELL-WITH-BASE64-START-1-SUSP-PARENT | Detecta procesos sospechosos de PowerShell con línea de comandos que comienzan con comandos sospechosos codificados en Base64 que se originan en un proceso padre sospechoso |
| WIN-PRI-EXE-SUSP-7ZIP-SUBPROCESS-1 | Identifica procesos sospechosos que se generan a partir de 7zip, incluidos cmd.exe y powershell.exe, que podrían indicar un intento de explotación de CVE-2022-29 |
Tabla 2: Detecciones de Sophos MDR que cubren esta amenaza
Referencias:
https://x.com/dilacer8/status/1973474128557646271
https://www.trendmicro.com/en_us/research/25/j/self-propagating-malware-spreads-via-whatsapp.html
https://securelist.com/coyote-multi-stage-banking-trojan/111846/
https://www.fortinet.com/blog/threat-research/coyote-banking-trojan-a-stealthy-attack-via-lnk-files
