Gusano de WhatsApp propaga troyano bancario por Brasil, apunta a carteras de criptomonedas

La campaña utiliza un troyano bancario llamado Eternidade Stealer que específicamente ataca billeteras cripto y credenciales financieras en el mercado de activos digitales más grande de América Latina.

Cómo funciona el ataque

El malware se propaga a través de WhatsApp usando dos componentes principales: un gusano autorreplicante y un troyano bancario. Cuando las víctimas hacen clic en un enlace malicioso enviado por WhatsApp, activan una secuencia automatizada que secuestra su cuenta y descarga software dañino en segundo plano.

Los investigadores de Trustwave SpiderLabs identificaron esta campaña en noviembre de 2025. Los investigadores señalaron que los actores de amenazas utilizan programas gubernamentales falsos, notificaciones de entrega y grupos de inversión fraudulentos para engañar a las personas y hacer que hagan clic en enlaces maliciosos.

El componente gusano secuestra cuentas de WhatsApp y accede a listas de contactos. Utiliza filtrado inteligente para ignorar contactos comerciales y grupos, centrándose en personas individuales que tienen más probabilidades de caer en la estafa. El malware luego envía automáticamente mensajes personalizados a cada contacto, utilizando sus nombres reales y saludos apropiados según la hora en portugués.

Fuente: trustwave.com

Mientras tanto, el troyano bancario se instala silenciosamente en el dispositivo de la víctima. Este Eternidade Stealer escanea aplicaciones financieras y billeteras cripto que se ejecutan en la computadora. Cuando detecta aplicaciones bancarias o exchanges de criptomonedas, el malware se activa inmediatamente y comienza a robar credenciales de inicio de sesión.

Servicios financieros y plataformas cripto atacadas

El malware ataca una amplia gama de instituciones financieras brasileñas, incluidos bancos importantes como Bradesco, BTG Pactual, Itaú, Santander y Caixa Econômica Federal. Servicios de pago como MercadoPago y Stripe también están en la lista de objetivos.

Para los usuarios de criptomonedas, la amenaza es particularmente grave. El malware busca credenciales de exchanges como Binance, Coinbase, Kraken y muchos otros. También ataca billeteras cripto populares como MetaMask, Trust Wallet, Exodus, Ledger Live y Phantom Wallet, entre muchas otras.

Brasil representa un objetivo atractivo para los ciberdelincuentes debido a su significativa adopción de criptomonedas. El país ocupa el quinto lugar a nivel mundial en el índice de adopción de criptomonedas de Chainalysis y procesó aproximadamente $319 mil millones en transacciones cripto entre mediados de 2024 y mediados de 2025.

Técnicas avanzadas de evasión

Lo que hace que Eternidade Stealer sea particularmente peligroso es su enfoque inteligente para evitar la detección. A diferencia del malware típico que se conecta a direcciones de servidor fijas, este troyano utiliza cuentas de email para recibir instrucciones de los hackers.

El malware contiene credenciales de inicio de sesión codificadas para cuentas de Gmail. Se conecta a estas cuentas utilizando protocolos de email estándar (IMAP) para verificar nuevos comandos. Este método se mezcla con el tráfico normal de email, dificultando que los sistemas de seguridad lo detecten y bloqueen.

Si las autoridades cierran un servidor de comando, los atacantes simplemente envían un nuevo email con direcciones de servidor actualizadas. El malware verifica el email, extrae la nueva ubicación del servidor y continúa operando. Este sistema basado en email ayuda al malware a mantener la persistencia y evadir los cierres a nivel de red.

El troyano también solo se activa en computadoras que utilizan portugués brasileño como idioma del sistema. Si detecta cualquier otro idioma, el malware se termina inmediatamente. Este enfoque hiperfocalizado ayuda a los atacantes a evitar a los investigadores de seguridad y concentrar recursos en sus víctimas previstas.

Campañas relacionadas y amenazas más amplias

Los investigadores de seguridad han rastreado múltiples campañas relacionadas dirigidas a usuarios brasileños a través de WhatsApp. En septiembre de 2025, Trend Micro identificó una campaña llamada Water Saci que propagaba un malware llamado SORVEPOTEL. Esta campaña infectó organizaciones gubernamentales, empresas manufactureras e instituciones educativas en todo Brasil.

Otro troyano bancario llamado Maverick también se ha estado propagando a través de WhatsApp desde principios de 2025. Estas campañas comparten técnicas similares, incluido el secuestro de WhatsApp y el ataque a instituciones financieras brasileñas.

La campaña Eternidade Stealer representa una evolución de estas amenazas anteriores. Los atacantes cambiaron de scripts PowerShell a programación Python, haciendo que su gusano sea más eficiente para propagarse a través de contactos de WhatsApp. También agregaron el innovador sistema de comandos basado en email que hace que el malware sea más difícil de cerrar.

Los registros de seguridad de la propia infraestructura de los actores de amenazas revelaron un sorprendente alcance global. Aunque el malware se dirige específicamente a Brasil, los intentos de conexión provinieron de 38 países diferentes. Estados Unidos mostró el mayor número de conexiones con 196 intentos, seguido por los Países Bajos, Alemania y el Reino Unido.

Pasos de protección para usuarios y organizaciones

Los usuarios de WhatsApp deben tener extrema precaución con cualquier enlace recibido a través de la aplicación, incluso de contactos de confianza. Si alguien envía un enlace inesperado con contexto limitado, verifíquelo a través de un canal de comunicación diferente antes de hacer clic.

Los expertos en seguridad recomiendan varias medidas de protección. Mantenga todo el software y sistemas operativos actualizados para corregir vulnerabilidades que el malware podría explotar. Instale software antivirus de buena reputación que pueda detectar y bloquear archivos maliciosos. Sea especialmente sospechoso de mensajes sobre programas gubernamentales, notificaciones de entrega u oportunidades de inversión que lleguen inesperadamente.

Si alguien sospecha que su cuenta ha sido comprometida, la acción inmediata es crítica. Congele el acceso a todas las cuentas bancarias y de criptomonedas de inmediato. Contacte a las instituciones financieras y exchanges para reportar la violación. Monitoree todas las transacciones de cerca, ya que esto puede ayudar a las autoridades a rastrear fondos robados y potencialmente congelar billeteras de hackers.

Las organizaciones enfrentan responsabilidades adicionales para proteger sus redes. Los administradores de TI deben configurar los dispositivos corporativos para deshabilitar las descargas automáticas de medios y documentos en WhatsApp. Utilice políticas de seguridad de endpoints y firewall para restringir las transferencias de archivos a través de aplicaciones de mensajería personal en computadoras de trabajo.

La creciente amenaza de ataques a billeteras cripto se extiende más allá de Brasil. Campañas de malware similares han atacado a usuarios en todo el mundo, con atacantes desarrollando constantemente nuevas técnicas para robar activos digitales. Las billeteras hardware que requieren confirmación física de transacciones siguen siendo la opción más segura para almacenar criptomonedas.

El panorama cripto en evolución de Brasil lo convierte en un objetivo cada vez más atractivo. El país está considerando agregar Bitcoin a las reservas nacionales e implementar regulaciones integrales de stablecoins, desarrollos que señalan una creciente adopción generalizada. Este aumento de actividad naturalmente atrae más atención de ciberdelincuentes que buscan explotar a los usuarios.

La carrera armamentística digital continúa

La campaña Eternidade Stealer demuestra cómo los ciberdelincuentes adaptan rápidamente sus tácticas para explotar plataformas populares como WhatsApp. Su uso de sistemas de comando basados en email y filtrado geográfico hiperfocalizado muestra una sofisticada seguridad operativa. A medida que el mercado cripto de Brasil continúa creciendo, los usuarios deben permanecer vigilantes contra los ataques de ingeniería social en evolución que aprovechan la confianza en las herramientas de comunicación cotidianas. La mejor defensa combina un escepticismo saludable hacia mensajes inesperados, software de seguridad robusto y protocolos de respuesta inmediata cuando ocurre un compromiso.