malware

Sorvepotel es el malware que azota Brasil y se propaga por WhatsApp

Avatar Por Mid No hay comentarios

SORVEPOTEL: el malware que se propaga velozmente por WhatsApp y golpea a Brasil

Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Media

Conclusiones clave

  • SORVEPOTEL se propaga a través de WhatsApp Web, infectando principalmente a usuarios en Brasil.
  • La infección inicia con mensajes de phishing que incluyen archivos ZIP maliciosos.
  • El malware está diseñado para replicarse y no para robar información, lo que puede llevar a un aumento del spam en las cuentas de WhatsApp infectadas.
  • Los sectores más vulnerables son gobierno, manufactura, tecnología y educación.
  • Se recomienda la implementación de medidas de seguridad y educación en ciberseguridad para prevenir ataques.

Índice

  1. Mecanismo de la infección
  2. Recomendaciones de seguridad
  3. Referencias

Mecanismo de la infección

El ataque inicia con un mensaje de phishing procedente de un contacto ya comprometido, lo que genera un sentido de confianza en la víctima. Este mensaje incluye un archivo ZIP malicioso que generalmente se presenta como un recibo o un documento relacionado con la salud. En el interior de este ZIP se encuentra un acceso directo de Windows (.LNK), el cual ejecuta un script de PowerShell encargándose de descargar el payload malicioso desde servidores externos.

Una vez que el malware está instalado de manera persistente en la carpeta de inicio de Windows, se establece una conexión con un servidor de comando y control (C2). En caso de detectar que la víctima tiene abierta la versión de escritorio de WhatsApp Web, reenvía automáticamente el archivo ZIP a todos los contactos y grupos asociados a esa cuenta. Este comportamiento genera un volumen masivo de spam, que puede derivar en la suspensión de muchas cuentas infectadas al violar los términos de uso de WhatsApp.

Los sectores más afectados incluyen el gobierno y los servicios públicos, la manufactura y la construcción, la tecnología y la educación, entre otros. El caso SORVEPOTEL evidencia cómo los cibercriminales están aprovechando plataformas de comunicación ampliamente utilizadas como WhatsApp, no solo para inducir a error a los usuarios, sino para convertir estas herramientas en canales de propagación de malware.

Aunque hasta el momento no hay pruebas de robo de información o cifrado de datos, los expertos advierten que esta técnica podría evolucionar hacia variantes más agresivas en el futuro.

Recomendaciones de seguridad

  • Desactivar las descargas automáticas en WhatsApp.
  • Evitar abrir archivos comprimidos (ZIP) de remitentes que no se conozcan.
  • Implementar controles en entornos corporativos para restringir la transferencia de archivos.
  • Capacitar a los empleados en la detección de phishing y en prácticas digitales seguras.
  • Mantener sistemas y antivirus actualizados para identificar comportamientos anómalos.

Referencias

Trend Micro – Fuente de información y alertas de ciberseguridad.

Avatar

Por Mid

Entradas relacionadas

malware

BlockBlasters y el robo de contraseñas en Steam

Mid
malware

XCSSET evoluciona con nuevo malware para macOS que roba criptomonedas

Mid
malware

MalTerminal es el primer malware que usa GPT-4 para crear ataques inteligentes

Mid

Te has perdido

apt

BatShadow Vampire Bot Ataca a Profesionales Digitales

docker-compose

Multiusuario VSCode Web + Copilot Chat y Repositorios: ¡Desarrolla en la nube con IA!

CVE

Oracle insta a parchear grave vulnerabilidad RCE explotada por Clop

ansible

Despliegue automático de servidor Git (Gitea) con Ansible: fuente de código privada en minutos