Un nuevo malware bautizado como SORVEPOTEL está causando estragos en Brasil al expandirse de forma masiva a través de WhatsApp Web. Su objetivo no es robar datos ni pedir rescates, sino propagarse con rapidez entre usuarios y organizaciones, poniendo en riesgo a múltiples sectores.
La compañía de ciberseguridad Trend Micro alertó sobre la detección de SORVEPOTEL, un malware autorreplicante que se propaga por WhatsApp y que ha registrado 477 infecciones, de las cuales 457 corresponden a Brasil.
‘Se ha observado que SORVEPOTEL se propaga por sistemas Windows a través de mensajes de phishing con archivos ZIP maliciosos, disfrazados de documentos aparentemente legítimos’, explicó Trend Micro en su informe.
A diferencia de otros ataques que buscan robar información o cifrar archivos, este malware está diseñado para expandirse de manera veloz y alcanzar la mayor cantidad posible de equipos.
Cómo funciona la infección
- El ataque comienza con un mensaje de phishing enviado desde un contacto comprometido, lo que genera confianza en la víctima.
- El mensaje incluye un archivo ZIP malicioso, disfrazado de recibo o documento de salud.
- Dentro del ZIP se esconde un acceso directo de Windows (.LNK), que ejecuta un script de PowerShell y descarga la carga maliciosa desde servidores externos.
- El malware se instala de forma persistente en la carpeta de inicio de Windows y establece conexión con un servidor de comando y control (C2).
- Si detecta que la víctima tiene abierta la versión de escritorio de WhatsApp Web, reenvía automáticamente el archivo ZIP a todos los contactos y grupos de esa cuenta.
Este comportamiento provoca un flujo masivo de spam, lo que termina ocasionando la suspensión de muchas cuentas infectadas por violar los términos de uso de WhatsApp. Los principales sectores comprometidos incluyen, gobierno y servicios públicos, manufactura y construcción, tecnología, educación, entre otros.
El caso SORVEPOTEL demuestra cómo los cibercriminales están utilizando plataformas de comunicación masivas como WhatsApp no solo para engañar a usuarios, sino para convertirlas en canales de propagación automática de malware.
Aunque por ahora no hay evidencia de robo de datos o cifrado de archivos, especialistas advierten que esta técnica podría evolucionar hacia versiones más agresivas en el futuro.
Recomendaciones generales
- Desactivar descargas automáticas en WhatsApp.
- Evitar abrir archivos comprimidos (ZIP) de remitentes desconocidos.
- Implementar controles en entornos corporativos para limitar la transferencia de archivos.
- Capacitar a empleados en detección de phishing y buenas prácticas digitales.
- Mantener sistemas y antivirus actualizados para detectar comportamientos anómalos.
Más información
- Trend Micro Research: https://www.trendmicro.com/en_us/research/25/j/self-propagating-malware-spreads-via-whatsapp.html?utm_source=chatgpt.com
- GBHackers: https://gbhackers.com/sorvepotel-malware/
Deja una respuesta