Los investigadores de ciberseguridad han descubierto una campaña coordinada que aprovechó 131 clones renombrados de una extensión de automatización web de WhatsApp para Google Chrome para enviar spam a usuarios brasileños a gran escala.
Las 131 extensiones de software no deseado comparten la misma base de código, patrones de diseño e infraestructura, según a la empresa de seguridad de la cadena de suministro Socket. Los complementos del navegador tienen en conjunto unos 20.905 usuarios activos.
«No son un malware clásico, pero funcionan como una automatización de spam de alto riesgo que abusa de las reglas de la plataforma», afirma el investigador de seguridad Kirill Boychenko. «El código, que se introduce directamente en la página web de WhatsApp y se ejecuta junto con los propios scripts de WhatsApp, automatiza la divulgación masiva y la programación, con el objetivo de eludir la aplicación antispam de WhatsApp».
El objetivo final de la campaña es difundir los mensajes salientes a través de WhatsApp de manera que se eludan los límites de velocidad y los controles antispam de la plataforma de mensajería.
Se considera que la actividad ha estado en marcha durante al menos nueve meses, y se han registrado nuevas subidas y actualizaciones de versiones de las extensiones tan recientemente como el 17 de octubre de 2025. Algunas de las extensiones identificadas se enumeran a continuación:
- YouSeller (10 000 usuarios)
- performance mais (239 usuarios)
- Botflow (38 usuarios)
- ZapVende (32 usuarios)
Se ha descubierto que las extensiones incluyen diferentes nombres y logotipos, pero, entre bastidores, la gran mayoría de ellas han sido publicadas por «WL Extensão» y su variante «WLExtensao». Se cree que las diferencias de marca son el resultado de un modelo de franquicia que permite a las filiales de la empresa inundar la Chrome Web Store con varios clones de la extensión original ofrecida por una empresa llamada DBX Tecnologia.
Estos complementos también afirman hacerse pasar por herramientas de gestión de relaciones con los clientes (CRM) para WhatsApp, lo que permite a los usuarios maximizar sus ventas a través de la versión web de la aplicación.
«Convierte tu WhatsApp en una potente herramienta de ventas y gestión de contactos. Con Zap Vende, tendrás un CRM intuitivo, automatización de mensajes, mensajería masiva, embudos de ventas visuales y mucho más», se lee en la descripción de ZapVende en la Chrome Web Store. «Organice su servicio de atención al cliente, realice un seguimiento de los clientes potenciales y programe los mensajes de una manera práctica y eficiente».
DBX Tecnologia, según Socket, anuncia un programa de marca blanca para revendedores que permite a los posibles socios cambiar la marca y vender su extensión web de WhatsApp con su propia marca, prometiendo ingresos recurrentes del orden de 30 000 a 84 000 reales mediante una inversión de 12 000 reales.
Vale la pena señalar que la práctica infringe el spam y el abuso de Chrome Web Store de Google. política , que prohíbe a los desarrolladores y sus afiliados enviar varias extensiones que proporcionen funciones duplicadas en la plataforma. También se ha descubierto que DBX Tecnologia publicó Vídeos de YouTube acerca de eludir los de WhatsApp algoritmos antispam al usar las extensiones.
«El clúster consiste en copias casi idénticas distribuidas en las cuentas de los editores, se comercializa para una divulgación masiva no solicitada y automatiza el envío de mensajes dentro de web.whatsapp.com sin la confirmación del usuario», señaló Boychenko. «El objetivo es mantener en marcha las campañas masivas y, al mismo tiempo, eludir los sistemas antispam».
La revelación se produce cuando Trend Micro, Sophos y Kaspersky arrojan luz sobre un campaña a gran escala que tiene como objetivo a los usuarios brasileños con un gusano de WhatsApp denominado SORVEPOTEL que se utiliza para distribuir un troyano bancario con el nombre en código Maverick.