Los analistas de Sophos investigan una campaña persistente y de múltiples etapas de distribución de malware dirigida a usuarios de WhatsApp en Brasil. Observada por primera vez el 24 de septiembre de 2025, la campaña (identificada como STAC3150) distribuye archivos adjuntos comprimidos que contienen un script descargador encargado de obtener múltiples cargas útiles de segunda etapa. A principios de octubre, los investigadores de la Counter Threat Unit™ (CTU) detallaron una actividad asociada con una campaña separada, también basada en Brasil, en la que los actores de amenaza utilizaron WhatsApp para desplegar el troyano bancario Maverick con el objetivo de robar credenciales.
En STAC3150, las cargas útiles de segunda etapa incluyen un script que recopila información de contactos y datos de sesión de WhatsApp, además de un instalador que despliega el troyano bancario Astaroth (también conocido como Guildma).
Figura 1: Cadena de ataque en la campaña STAC3150 de WhatsApp
Progresión del ataque
Los ataques comienzan con un mensaje enviado mediante la opción “Ver una vez” de WhatsApp.
Figura 2: Señuelo de WhatsApp (izquierda) y traducción (derecha)
El señuelo entrega un archivo ZIP que contiene un archivo VBS o HTA malicioso. Al ejecutarse, lanza PowerShell para obtener las cargas útiles de segunda etapa, incluidos scripts en PowerShell o Python y archivos MSI que despliegan Astaroth.
Figura 3: Formatos de archivo utilizados en la campaña STAC3150 entre el 24 de septiembre y el 31 de octubre de 2025
En los incidentes de finales de septiembre, los analistas de Sophos observaron el uso de PowerShell para recuperar las cargas útiles de segunda etapa mediante IMAP desde una cuenta de correo electrónico controlada por el atacante. A principios de octubre, la campaña cambió a comunicación basada en HTTP, aprovechando el comando Invoke-WebRequest de PowerShell para contactar con un servidor remoto de comando y control (C2) alojado en https://www.varegjopeaks.com
Figura 4: Comandos de PowerShell lanzados desde el archivo VBS malicioso
El script de PowerShell o Python descargado (ver Figura 5) utiliza Selenium Chrome WebDriver y la biblioteca JavaScript WPPConnect para secuestrar sesiones de WhatsApp Web, recopilar información de contactos y tokens de sesión, y facilitar la distribución de spam.
Figura 5: Scripts de PowerShell (izquierda) y Python (derecha) para la recopilación de datos de WhatsApp
A finales de octubre, los archivos de segunda etapa comenzaron también a incluir un archivo MSI (installer.msi) que entrega el malware Astaroth. Este instalador escribe archivos en el disco y crea una clave de registro de inicio para mantener la persistencia. Al ejecutarse, lanza el malware Astaroth mediante un script malicioso de AutoIt que se disfraza como un archivo .log. El malware se comunica con un servidor C2 alojado en manoelimoveiscaioba.com.
Figura 6: Ejecución del payload de AutoIt
Victimología
Los analistas de Sophos observaron que esta campaña afectó a más de 250 clientes, con aproximadamente el 95 % de los dispositivos comprometidos ubicados en Brasil. El resto se encontraba en otros países de América Latina, Estados Unidos y Austria.
Figura 7: Distribución de los dispositivos de clientes de Sophos afectados por la campaña de WhatsApp que despliega Astaroth (del 23 al 28 de octubre de 2025)
Recomendaciones, detecciones e indicadores
Las organizaciones deben educar a sus empleados sobre los riesgos de abrir archivos comprimidos enviados a través de redes sociales o plataformas de mensajería instantánea, incluso si provienen de contactos conocidos.
SophosLabs ha desarrollado las contramedidas que se muestran en la Tabla 1 para detectar actividades asociadas con esta amenaza.
| Nombre | Descripción |
| VBS/DwnLdr-ADJT | Detección para el archivo VBS inicial |
| VBS/DwnLdr-ADJW | Detección para el archivo VBS inicial |
| VBS/DwnLdr-ADJS | Detección para el archivo VBS de segunda etapa |
| Troj/Mdrop-KEP | Detección para el archivo MSI de segunda etapa |
| Troj/Mdrop-KES | Detección para el archivo MSI de segunda etap |
| Troj/AutoIt-DJB | Detección para el payload de Autolit |
| Troj/HTADrp-CE | Detección para el script HTA |
Los indicadores de amenaza en la Tabla 2 pueden utilizarse para detectar actividades relacionadas con esta amenaza. Los dominios pueden contener contenido malicioso, por lo que se recomienda evaluar los riesgos antes de abrirlos en un navegador.
Tabla 2: Indicadores para esta amenaza
| Indicador | Tipo | Contexto |
| manoelimoveiscaioba[.]com | Domain name | C2 server used in WhatsApp STAC3150 campaign |
| varegjopeaks[.]com | Domain name | C2 server used in WhatsApp STAC3150 campaign |
| docsmoonstudioclayworks[.]online | Domain name | C2 server used in WhatsApp STAC3150 campaign |
| shopeeship[.]com | Domain name | C2 server used in WhatsApp STAC3150 campaign |
| miportuarios[.]com | Domain name | C2 server used in WhatsApp STAC3150 campaign |
| borizerefeicoes[.]com | Domain name | C2 server used in WhatsApp STAC3150 campaign |
| clhttradinglimited[.]com | Domain name | C2 server used in WhatsApp STAC3150 campaign |
| lefthandsuperstructures[.]com | Domain name | C2 server used in WhatsApp STAC3150 campaign |
