Los investigadores de ciberseguridad han revelado detalles de una nueva campaña que utiliza WhatsApp como vector de distribución para un troyano bancario de Windows llamado Astaroth en ataques contra Brasil.

La campaña tiene un nombre en clave Boto Cor-de-Rosa de la Unidad de investigación de amenazas de Acronis.

«El malware recupera la lista de contactos de WhatsApp de la víctima y envía automáticamente mensajes maliciosos a cada contacto para propagar aún más la infección», dijo la empresa de ciberseguridad dijo en un informe compartido con The Hacker News.

«Si bien la carga útil principal de Astaroth sigue escrita en Delphi y su instalador se basa en el script de Visual Basic, el módulo de gusanos basado en WhatsApp, recientemente agregado, se implementa completamente en Python, lo que pone de relieve el creciente uso de componentes modulares multilingües por parte de los actores de amenazas».

Astaroth, también llamado Guildma, es un malware bancario que se ha detectado en estado salvaje desde 2015 y que se dirige principalmente a usuarios de América Latina, en particular de Brasil, para facilitar el robo de datos. En 2024, varios clústeres de amenazas rastreados como PIÑA y Agua Makara se observó que aprovechaban los correos electrónicos de suplantación de identidad para propagar el malware.

El uso de WhatsApp como vehículo de entrega de troyanos bancarios es una nueva táctica que ha ganado terreno entre los actores de amenazas que atacan a los usuarios brasileños, una medida impulsada por el uso generalizado de la plataforma de mensajería en el país. El mes pasado, Trend Micro detallada La confianza de Water Saci en WhatsApp para difundir Maverick y una variante de Casbaneiro.

Sophos, en un informe publicado en noviembre de 2025, dijo que está rastreando una campaña de distribución de malware en varias etapas con el nombre en código STAC3150 dirigida a los usuarios de WhatsApp en Brasil con Astaroth. Más del 95% de los dispositivos afectados estaban ubicados en Brasil y, en menor medida, en EE. UU. y Austria.

La actividad, activa desde al menos el 24 de septiembre de 2025, entrega archivos ZIP que contienen un script de descarga que recupera un script de PowerShell o Python para recopilar datos de usuarios de WhatsApp para su posterior propagación, junto con un instalador MSI que implementa el troyano. Los últimos descubrimientos de Acronis son una continuación de esta tendencia, según la cual los archivos ZIP distribuidos a través de los mensajes de WhatsApp actúan como punto de partida para la infección por malware.

«Cuando la víctima extrae y abre el archivo, se encuentra con un script de Visual Basic disfrazado de archivo benigno», dijo la empresa de ciberseguridad. «La ejecución de este script desencadena la descarga de los componentes de la siguiente etapa y marca el inicio del problema».

Esto incluye dos módulos:

  • Un módulo de propagación basado en Python que reúne los contactos de WhatsApp de la víctima y reenvía automáticamente un archivo ZIP malicioso a cada uno de ellos, lo que conduce a la propagación del malware de forma similar a la de un gusano
  • Un módulo bancario que funciona en segundo plano y monitorea continuamente la actividad de navegación web de la víctima, y se activa cuando se visitan las URL relacionadas con la banca para recopilar credenciales y obtener ganancias financieras

«El autor del malware también implementó un mecanismo integrado para rastrear e informar sobre las métricas de propagación en tiempo real», afirma Acronis. «El código registra periódicamente estadísticas como el número de mensajes enviados correctamente, el número de intentos fallidos y la tasa de envío medida en mensajes por minuto».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.