Los analistas de Sophos están investigando una campaña persistente de distribución de malware en varias etapas dirigida a los usuarios de WhatsApp en Brasil. Observada por primera vez el 24 de septiembre de 2025, la campaña (rastreada como STAC3150) envía archivos adjuntos que contienen un script de descarga que recupera múltiples cargas útiles de segunda fase. A principios de octubre, los investigadores de Counter Threat Unit™ (CTU) detallaron la actividad asociada a otra campaña con base en Brasil en la que los autores de la amenaza aprovechaban WhatsApp para desplegar el troyano bancario Maverick con el fin de robar credenciales.
En STAC3150, las cargas útiles de segunda fase incluyen un script que recopila información de contacto y datos de sesión de WhatsApp, y un instalador que despliega el troyano bancario Astaroth (también conocido como Guildma) (véase la figura 1).
Progresión del ataque
Los ataques comienzan con un mensaje que se envía utilizando la opción «Ver una vez» de WhatsApp (véase la figura 2).
El señuelo entrega un archivo ZIP que contiene un archivo VBS o HTA malicioso. Cuando se ejecuta, este archivo malicioso inicia PowerShell para recuperar las cargas útiles de la segunda etapa, incluido un script de PowerShell o Python que recopila datos de usuarios de WhatsApp y, en casos posteriores, un instalador MSI que entrega el malware Astaroth. La figura 3 muestra los cambios en los scripts de descarga y los archivos de la segunda etapa a lo largo de la campaña.
En los incidentes de finales de septiembre, los analistas de Sophos observaron que se utilizaba PowerShell para recuperar las cargas útiles de segunda fase a través de IMAP desde una cuenta de correo electrónico controlada por los atacantes. A principios de octubre, la campaña pasó a utilizar comunicaciones basadas en HTTP, aprovechando el comando Invoke-WebRequest de PowerShell para contactar con un servidor de comando y control (C2) remoto alojado en https://www.varegjopeaks.com (véase la figura 4).
El script de PowerShell o Python de segunda fase descargado (véase la figura 5) utiliza Selenium Chrome WebDriver y la biblioteca JavaScript WPPConnect para secuestrar sesiones de WhatsApp Web, recopilar información de contacto y tokens de sesión, y facilitar la distribución de spam.
A finales de octubre, los archivos de la segunda fase comenzaron a incluir también un archivo MSI (installer.msi) que distribuye el malware Astaroth. El archivo instalador escribe archivos en el disco y crea una clave de registro de inicio para mantener la persistencia. Cuando se ejecuta, lanza el malware Astaroth a través de un script AutoIt malicioso que se disfraza como un archivo .log (véase la figura 6). El malware se comunica con un servidor C2 alojado en manoelimoveiscaioba . com.
Victimología
Los analistas de Sophos observaron que esta campaña afectó a más de 250 clientes, y aproximadamente el 95 % de los dispositivos afectados se encontraban en Brasil. El resto se encontraba en otros países de América Latina, Estados Unidos y Austria (véase la figura 7).
Recomendaciones, detecciones e indicadores
Las organizaciones deben educar a sus empleados sobre los riesgos de abrir archivos adjuntos enviados a través de redes sociales y plataformas de mensajería instantánea, incluso si se reciben de contactos conocidos.
SophosLabs ha desarrollado las contramedidas de la tabla 1 para detectar la actividad asociada a esta amenaza.
| Nombre | Descripción |
| VBS/DwnLdr-ADJT | Detección del archivo VBS inicial |
| VBS/DwnLdr-ADJW | Detección del archivo VBS inicial |
| VBS/DwnLdr-ADJS | Detección del archivo VBS de segunda fase |
| Troj/Mdrop-KEP | Detección del archivo MSI de segunda fase |
| Troj/Mdrop-KES | Detección del archivo MSI de segunda fase |
| Troj/AutoIt-DJB | Detección de la carga útil de AutoIt |
| Troj/HTADrp-CE | Detección del script HTA |
Tabla 1: detecciones de Sophos asociadas a esta amenaza
Los indicadores de amenaza de la tabla 2 pueden utilizarse para detectar la actividad relacionada con esta amenaza. Los dominios pueden contener contenido malicioso, por lo que debes tener en cuenta los riesgos antes de abrirlos en un navegador.
| Indicador | Tipo | Contexto |
| manoelimoveiscaioba[.]com | Nombre de dominio | C2 server used in WhatsApp STAC3150 campaign |
| varegjopeaks[.]com | Nombre de dominio | Servidor C2 utilizado en la campaña STAC3150 de WhatsApp |
| docsmoonstudioclayworks[.]online | Nombre de dominio | Servidor C2 utilizado en la campaña STAC3150 de WhatsApp |
| shopeeship[.]com | Nombre de dominio | Servidor C2 utilizado en la campaña STAC3150 de WhatsApp |
| miportuarios[.]com | Nombre de dominio | Servidor C2 utilizado en la campaña STAC3150 de WhatsApp |
| borizerefeicoes[.]com | Nombre de dominio | Servidor C2 utilizado en la campaña STAC3150 de WhatsApp |
| clhttradinglimited[.]com | Nombre de dominio | Servidor C2 utilizado en la campaña STAC3150 de WhatsApp |
| lefthandsuperstructures[.]com | Nombre de dominio | Servidor C2 utilizado en la campaña STAC3150 de WhatsApp |
Tabla 2: indicadores de esta amenaza
