SORVEPOTEL: El Malware que se Autopropaga por WhatsApp y Apunta a Empresas
¿Qué es SORVEPOTEL?
El malware SORVEPOTEL es una nueva y agresiva campaña de ciberseguridad. Está aprovechando la confianza en WhatsApp para auto-propagarse de forma masiva entre usuarios de Windows, con un foco particular en empresas de Brasil. A diferencia de otros códigos maliciosos diseñados para robar datos o secuestrar sistemas con ransomware, esta amenaza está específicamente diseñada para la velocidad y la propagación, lo que ha llevado al bloqueo de numerosas cuentas debido al exceso de actividad de spam.
La campaña, identificada por los investigadores de Trend Micro como «Water Saci», se inicia con un mensaje de phishing. Este es enviado desde un contacto de WhatsApp ya comprometido, lo que le da una apariencia de legitimidad. El mensaje, redactado en portugués, insta al usuario a «baixa o zip no PC e abre» (bajar el ZIP en la PC y abrirlo). Esto sugiere que los actores detrás de SORVEPOTEL tienen un interés particular en entornos empresariales donde el uso de computadoras de escritorio es más común.
🔍 ¿Cómo funciona el ataque SORVEPOTEL?
La infección sigue una cadena de pasos diseñada para evadir detecciones y garantizar su persistencia:
- Infección Inicial. El usuario recibe un archivo ZIP adjunto con nombres que simulan ser documentos inofensivos. Ejemplos: un recibo (
RES-20250930_112057.zip) o un presupuesto (ORCAMENTO_114418.zip). Los investigadores también han observado que el correo electrónico es otro vector de infección posible para esta campaña. - Ejecución del Malware. Al descomprimir el archivo, la víctima encuentra un archivo de acceso directo de Windows (.LNK). Al ejecutarlo, se activa silenciosamente un script de PowerShell que descarga la carga maliciosa principal desde un servidor controlado por los atacantes, como
sorvetenopoate[.]com - Persistencia en el Sistema. La carga útil descargada es un script por lotes (.BAT) que se copia a sí mismo en la carpeta de Inicio de Windows. Esto garantiza que el malware se ejecute automáticamente cada vez que se enciende el equipo.
- Propagación Automatizada. El mecanismo central de SORVEPOTEL es su capacidad para secuestrar sesiones activas de WhatsApp Web. Si el malware detecta que la víctima tiene una sesión abierta, aprovecha automáticamente la cuenta comprometida para distribuir el archivo ZIP malicioso a todos sus contactos y grupos, generando una propagación extremadamente rápida. Esta es la razón principal por la que las cuentas infectadas son suspendidas por WhatsApp por violar sus términos de servicio.
🎯 Evolución y Objetivos Financieros
Investigaciones posteriores de Trend Micro revelaron que el ataque es más sofisticado de lo que parecía inicialmente. El script de PowerShell descarga un DLL de .NET que busca evadir el análisis. Este DLL realiza comprobaciones anti-análisis buscando procesos asociados con herramientas de seguridad como Wireshark, IDA, Ghidra o x64dbg.
Si pasa desapercibido, procede a cargar en memoria un shellcode capaz de monitorear actividad bancaria. La carga final, identificada como Maverick.StageTwo, es un troyano espía que se enfoca en usuarios de instituciones financieras en América Latina, especialmente en Brasil.
El malware monitorea las ventanas activas del navegador y compara las URLs visitadas con una lista de 65 entidades financieras y de criptomonedas preseccionadas.
Entre los objetivos se incluyen:
| Institución | Tipo |
|---|---|
| Banco do Brasil | Banco |
| Bradesco | Banco |
| Itaú Unibanco | Banco |
| Caixa Econômica Federal (CEF) | Banco |
| Santander | Banco |
| Binance | Exchange de Cripto |
| Mercado Pago | Servicio de Pagos |
Cuando una víctima visita uno de estos sitios, el malware puede desplegar funcionalidades maliciosas como registrar las pulsaciones del teclado, capturar pantallas, robar credenciales mediante páginas de phishing superpuestas, e incluso bloquear las interacciones con el teclado y el ratón.
🛡️ Cómo Protegerse y Mitigar el Riesgo
Para evitar ser víctima de SORVEPOTEL y campañas similares, es fundamental combinar la capacitación con medidas técnicas:
- Concienciación del Usuario. Educa a los equipos para que desconfíen de mensajes inesperados que pidan descargar y abrir archivos en la PC, incluso si provienen de contactos conocidos.
- Verificación de Archivos. Insiste en no abrir archivos adjuntos ZIP o LNK de remitentes no verificados, y en confirmar la legitimidad del mensaje a través de otro medio de comunicación.
- Protección de Endpoints. Despliega soluciones de seguridad robustas en todos los dispositivos que puedan detectar y mitigar este tipo de amenazas.
- Políticas de BYOD. Si tu organización permite el uso de dispositivos personales (BYOD), establece políticas claras de seguridad para aplicaciones de mensajería como WhatsApp.
- Mantenerse Actualizado. Asegúrate de que todos los sistemas y navegadores estén actualizados con los últimos parches de seguridad.
Nuestra recomendación adicional
Considerando los mecanismos de propagación de SORVEPOTEL, y especialmente el fin de vida de Windows 10, recomendamos migrar tus equipos a Linux. Nosotros podemos apoyarte en esa transición.
Fuente: The Hacker News
