Un nuevo software malicioso identificado como Sorvepotel viene siendo detectado como una campaña ‘self-propagating’ que se propaga a través de WhatsApp Web, con especial incidencia en Brasil, y orientada a sistemas Windows.
Según el análisis de especialistas de Trend Micro, Sorvepotel se difunde mediante mensajes de phishing que contienen un archivo comprimido (ZIP) disfrazado como documentos legítimos -por ejemplo, recibos, presupuestos o comprobantes- enviados desde contactos previamente comprometidos.
Vea más: ¿La IA reemplazará a los seres humanos? Experto da reveladora respuesta
Dentro del ZIP se oculta un acceso directo de Windows (.LNK), el cual ejecuta silenciosamente un script de PowerShell. Este script descarga el payload principal desde servidores controlados por los atacantes, utilizando dominios con nombres engañosos (por ejemplo, ‘sorvetenopoate[.]com’) para evadir sospechas.
Una vez ejecutado, el malware instala persistencia copiándose a la carpeta de inicio del sistema, y mantiene comunicación con servidores de comando y control (C2) para recibir nuevas instrucciones o descargar componentes adicionales.
Una vez ejecutado, el malware instala persistencia copiándose a la carpeta de inicio del sistema, y mantiene comunicación con servidores de comando y control (C2) para recibir nuevas instrucciones o descargar componentes adicionales.
Vea más: ¿Se desacelera la contratación tecnológica en Colombia hacia el cierre de 2025?
Ciberataque.
iStock
Una de las características más preocupantes del malware es su capacidad de aprovechar sesiones activas de WhatsApp Web. Cuando detecta que el usuario tiene una sesión de WhatsApp en el navegador, el malware envía automáticamente el mismo archivo ZIP malicioso a todos los contactos y grupos en la cuenta afectada, provocando una propagación rápida e indiscriminada.
Este mecanismo masivo de reenvíos genera un elevado volumen de spam, lo cual frecuentemente conduce a la suspensión o bloqueo de las cuentas infectadas, por violar las políticas de uso de WhatsApp.
Vea más: ¿Lo sabía? Esta es la función del celular que le puede estar agotando la batería
Los cambios que tendrá el mensajero.
Canva
Hasta el momento, se han reportado 477 casos de infección, de los cuales 457 se concentran en Brasil. Las entidades afectadas pertenecen mayoritariamente a sectores gubernamentales y de servicios públicos, aunque también se han detectado casos en empresas de manufactura, tecnología, educación y construcción.
Aunque la campaña no parece tener como objetivo inicial el robo masivo de datos ni el cifrado de archivos, sí se identificaron payloads complementarios orientados a actividades financieras. Entre ellos están Maverick.StageTwo, para monitorear actividad bancaria, y Maverick.Agent, capaz de robar credenciales y generar ventanas superpuestas (overlay) que simulan sitios bancarios para engañar al usuario.
El malware también incorpora mecanismos de evasión: verifica el entorno (zona horaria, idioma, región) para confirmar que el sistema esté en Brasil antes de ejecutar sus funciones más agresivas, y rechaza operar si detecta procesos de análisis o depuración activos.
Vea más: ¿Se puede pagar luz, agua y gas con en este sistema de pagos inmediatos Bre-B?
Riesgo global y proyección: aunque la mayoría de las infecciones se han registrado en Brasil, la naturaleza del vector (WhatsApp, mensajes virales) hace que el riesgo pueda expandirse hacia otros países. Expertos sostienen que esta forma de propagación masiva y automática representa un importante cambio en la estrategia de malware: usar plataformas de comunicación social no solo como medios de infección, sino como canales activos de propagación.
La campaña, denominada también Water Saci, representa una advertencia sobre la sofisticación y automatización de ataques futuros. “El malware está diseñado para expansión rápida y no para robo de datos en esta primera etapa”, indican los investigadores.
Los especialistas en ciberseguridad sugieren algunas medidas clave para organizaciones y usuarios:
Vea más: Harvard reveló la fórmula: este es el ‘truco’ para hacerse viral en las redes
– Desactivar las descargas automáticas en WhatsApp y evitar abrir archivos comprimidos (ZIP) provenientes de contactos sospechosos o inesperados.
– Restringir el uso de WhatsApp Web en equipos corporativos y monitorear el comportamiento del cliente web para detectar reenvíos masivos.
– Implementar soluciones de seguridad robustas en endpoints, capaces de detectar scripts y comportamientos ofuscados (PowerShell, LNK).
– Educar a los usuarios sobre phishing y confirmación de la veracidad de archivos antes de abrirlos, incluso si provienen de contactos conocidos.
– Supervisar tráfico de red hacia dominios sospechosos y bloqueos en listas de comando y control conocidas.
