El malware Eternidade Stealer ataca el sector financiero brasileño a través de WhatsApp

Resumen Ejecutivo

Investigadores de ciberseguridad han identificado una nueva y agresiva campaña de malware en Brasil que involucra un troyano bancario llamado Eternidade Stealer. El malware se está distribuyendo rápidamente a través de WhatsApp y está diseñado para robar credenciales de inicio de sesión de una lista específica de bancos brasileños, empresas de tecnología financiera y principales intercambios de criptomonedas. Los análisis de firmas como Trustwave SpiderLabs, BlueVoyant y Trend Research indican que esta campaña representa una evolución en las tácticas utilizadas por los grupos cibercriminales brasileños, quienes están aprovechando cada vez más las plataformas de comunicación populares para ejecutar ataques a gran escala.

El Evento en Detalle

El ataque comienza con ingeniería social, donde se engaña a los usuarios para que descarguen un archivo ZIP de un mensaje de WhatsApp. Este archivo contiene un archivo de acceso directo malicioso (.lnk) en lugar de un ejecutable directo. Al abrirse, este acceso directo ejecuta un comando ofuscado que descarga y ejecuta la carga útil principal. El malware, un descargador .NET protegido por ArmDot, luego inyecta shellcode en el proceso powershell_ise.exe. Esto le permite operar con cierto grado de sigilo. Su característica más efectiva es su mecanismo de autopropagación; el malware utiliza la sesión activa de WhatsApp de la víctima para distribuir automáticamente el archivo ZIP malicioso a todos los contactos y grupos, asegurando una infección rápida y generalizada.

Mecanismos Financieros y Objetivos

El objetivo principal de Eternidade Stealer es el robo de credenciales. El malware monitorea activamente el sistema de una víctima en busca de nombres de procesos o títulos de ventanas asociados con aplicaciones financieras específicas. Cuando se detecta una coincidencia, activa su función de robo de datos. Las entidades explícitamente objetivo incluyen los principales bancos brasileños Bradesco y BTG Pactual, junto con las plataformas globales de criptomonedas Binance y Coinbase, y las populares billeteras de software MetaMask y Trust Wallet. Este amplio objetivo indica un esfuerzo estratégico para comprometer una amplia franja del ecosistema financiero digital en Brasil.

Implicaciones para el Mercado

El uso de WhatsApp como vector de distribución principal es un desarrollo significativo para el mercado. Aprovecha la ubicuidad de la plataforma y la confianza inherente que los usuarios depositan en los mensajes de sus contactos, lo que hace que el malware sea excepcionalmente efectivo para propagarse. Este ataque representa una amenaza directa para los activos de los clientes y erosiona la confianza en la seguridad tanto de la banca tradicional como de los sectores emergentes de criptomonedas en Brasil. Para las instituciones objetivo, la campaña representa un grave riesgo para la reputación y requiere una revisión de los protocolos de seguridad orientados al cliente y los esfuerzos educativos.

Comentario de Expertos

Según el análisis de Trustwave SpiderLabs, el malware exhibe una notable sofisticación técnica. Recupera dinámicamente las direcciones del servidor de comando y control (C2) utilizando el Protocolo de Acceso a Mensajes de Internet (IMAP), un método que permite a los atacantes actualizar la infraestructura sobre la marcha y complicar los esfuerzos de eliminación. Investigadores de BlueVoyant han rastreado una campaña similar denominada "Maverick", que también utiliza WhatsApp para la distribución y emplea geocercas específicas de Brasil, lo que sugiere un adversario disciplinado y enfocado. La capacidad del malware para inyectar procesos y sus rutinas de descifrado personalizadas resaltan una amenaza activa y en evolución.

Contexto Más Amplio

Esta campaña es parte de una tendencia más amplia de malware financiero cada vez más sofisticado originario de Brasil. Sigue los pasos de troyanos anteriores como Grandoreiro, que apareció por primera vez en 2016. Los analistas de seguridad señalan que los grupos de desarrolladores criminales de la región a menudo comparten código, lo que lleva a un rápido refinamiento y la adición de nuevas características. La evolución de troyanos rudimentarios a malware complejo y auto-propagador como Eternidade Stealer subraya la maduración del panorama del cibercrimen brasileño y presenta una amenaza persistente y creciente para el sistema financiero global.