La campaña de malware Sorvepotel ha escalado significativamente sus operaciones contra instituciones financieras brasileñas, introduciendo nuevos vectores de ataque sofisticados que explotan sesiones de WhatsApp Web para comprometer credenciales bancarias en más de 20 bancos importantes. Esta evolución representa una de las operaciones de troyano bancario más avanzadas que actualmente atacan los mercados financieros latinoamericanos.
Los analistas de seguridad han identificado que Sorvepotel ahora emplea un proceso de infección multi-etapa que comienza con ataques de ingeniería social entregados a través de cuentas de WhatsApp comprometidas o mensajes de phishing. Una vez que los usuarios interactúan con enlaces maliciosos, el malware instala cargas útiles que se dirigen específicamente a sesiones de WhatsApp Web, permitiendo a los atacantes mantener acceso persistente a las plataformas de mensajería de las víctimas.
La sofisticación técnica de Sorvepotel radica en su capacidad para interceptar códigos de autenticación de dos factores y tokens de sesión mientras captura simultáneamente credenciales bancarias mediante ataques de superposición y keylogging. El malware demuestra técnicas avanzadas de evasión, incluyendo la capacidad de eludir muchas soluciones de seguridad móvil mediante el enmascaramiento de aplicaciones legítimas y la carga dinámica de código.
El análisis reciente de la campaña revela que Sorvepotel ha expandido su lista de objetivos más allá de las aplicaciones bancarias tradicionales para incluir plataformas de inversión, billeteras digitales y servicios financieros gubernamentales. Este alcance ampliado indica la adaptación de los atacantes al ecosistema financiero digital brasileño en evolución, donde los usuarios dependen cada vez más de múltiples aplicaciones financieras para transacciones diarias.
El vector de infección típicamente involucra tácticas de ingeniería social donde las víctimas reciben mensajes que parecen provenir de contactos confiables o fuentes oficiales. Estos mensajes contienen enlaces que redirigen a sitios web maliciosos que alojan la carga útil de Sorvepotel. Una vez instalado, el malware obtiene permisos extensos que le permiten monitorear la actividad del dispositivo, capturar capturas de pantalla durante sesiones bancarias e interceptar mensajes SMS que contienen códigos de autenticación.
Lo que hace a Sorvepotel particularmente peligroso es su integración con WhatsApp Web. Al comprometer sesiones de WhatsApp, los atacantes pueden mantener el acceso incluso después de que la infección inicial pueda ser detectada y eliminada del dispositivo móvil. Este mecanismo de persistencia representa un avance significativo sobre los troyanos bancarios brasileños anteriores.
Los profesionales de seguridad han notado que Sorvepotel emplea varias técnicas anti-análisis, incluyendo detección de entorno y ejecución retardada cuando se detectan aplicaciones de seguridad. El malware también utiliza canales de comunicación encriptados para exfiltrar datos robados a servidores de comando y control, haciendo que la detección y el análisis sean más desafiantes para los investigadores de seguridad.
Las organizaciones que operan en Brasil deben implementar medidas de seguridad integrales que incluyan listas blancas de aplicaciones, monitoreo de red para conexiones salientes sospechosas y educación de empleados sobre riesgos de ingeniería social. La autenticación multifactor sigue siendo crucial, aunque las organizaciones deberían considerar implementar claves de seguridad de hardware o autenticadores basados en aplicaciones en lugar de 2FA basado en SMS, que Sorvepotel puede interceptar.
El impacto económico de esta campaña es sustancial, con estimaciones preliminares que sugieren millones en pérdidas potenciales en las instituciones financieras objetivo. El Banco Central de Brasil y las autoridades de ciberseguridad han emitido alertas a las instituciones financieras, recomendando monitoreo mejorado para patrones de transacción inusuales e implementando pasos de verificación adicionales para operaciones de alto valor.
A medida que la campaña continúa evolucionando, los investigadores de seguridad anticipan más adaptaciones, incluyendo la potencial expansión a otras plataformas de mensajería y el aumento del targeting de cuentas bancarias corporativas. La operación Sorvepotel demuestra la creciente sofisticación del malware financiero que ataca mercados emergentes y destaca la necesidad de una adaptación continua de seguridad frente a amenazas en evolución.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.