Investigadores en ciberseguridad han revelado los detalles de una nueva y sofisticada campaña maliciosa que emplea WhatsApp como vector de distribución para propagar el conocido troyano bancario Astaroth, también denominado Guildma, en ataques dirigidos principalmente a usuarios de Windows en Brasil. La operación, identificada por la Unidad de Investigación de Amenazas de Acronis, ha sido bautizada como Boto Cor-de-Rosa, y marca una evolución significativa en las tácticas utilizadas por los actores de amenazas en América Latina.
Según Acronis, esta campaña introduce un módulo tipo gusano completamente implementado en Python, capaz de extraer automáticamente la lista de contactos de WhatsApp de la víctima y enviar mensajes maliciosos a cada uno de ellos, facilitando una rápida y silenciosa propagación del malware. Esta técnica representa un cambio estratégico, ya que aprovecha la confianza implícita en los mensajes provenientes de contactos conocidos, incrementando de forma considerable la tasa de infección.
WhatsApp como nuevo vector para malware bancario
El uso de WhatsApp como canal de distribución de malware no es completamente nuevo, pero sí se ha consolidado recientemente como una táctica altamente efectiva en Brasil, un país donde la plataforma es uno de los principales medios de comunicación digital. Los actores maliciosos están explotando esta dependencia para reemplazar o complementar campañas tradicionales de phishing por correo electrónico, que suelen ser más fáciles de detectar por filtros de seguridad.
De acuerdo con el informe, los mensajes enviados por el malware contienen archivos ZIP maliciosos, que actúan como el punto inicial de la cadena de infección. Una vez que la víctima descarga y extrae el archivo, se encuentra con un script de Visual Basic (VBS) camuflado como un archivo legítimo, lo que reduce las sospechas y aumenta la probabilidad de ejecución.
Arquitectura modular y multilenguaje de Astaroth
Uno de los aspectos más relevantes de esta campaña es el uso de una arquitectura modular multilenguaje, una tendencia cada vez más común entre los grupos de cibercrimen avanzados. Aunque la carga útil principal de Astaroth sigue desarrollada en Delphi, y su instalador se apoya en scripts de Visual Basic, el nuevo módulo de propagación basado en WhatsApp ha sido desarrollado íntegramente en Python.
Este enfoque ofrece múltiples ventajas a los atacantes, como una mayor flexibilidad, facilidad de mantenimiento y capacidad de evasión, además de permitir una rápida adaptación a nuevos entornos o plataformas. El uso de Python, en particular, facilita la integración con librerías y funciones orientadas a la automatización y recolección de datos.
Módulos clave del ataque
Una vez ejecutado el archivo inicial, el malware descarga los componentes de la siguiente etapa, que incluyen dos módulos principales:
-
Módulo de propagación vía WhatsApp (Python):
Este componente se encarga de recopilar los contactos almacenados en la cuenta de WhatsApp de la víctima y reenviar automáticamente el archivo ZIP malicioso a cada uno de ellos. El comportamiento es similar al de un gusano, ya que la infección se replica sin interacción adicional del atacante. -
Módulo bancario (Astaroth/Guildma):
Opera de forma sigilosa en segundo plano, monitorizando continuamente la actividad de navegación web. Cuando detecta que la víctima accede a URLs relacionadas con entidades bancarias, el malware se activa para capturar credenciales, interceptar transacciones y facilitar fraudes financieros.
Seguimiento en tiempo real y métricas de propagación
Otro elemento avanzado identificado por Acronis es la implementación de un mecanismo interno de telemetría, que permite al operador del malware monitorear en tiempo real la efectividad de la campaña. El código malicioso registra métricas como:
-
Número de mensajes entregados con éxito
-
Cantidad de intentos fallidos
-
Velocidad de envío medida en mensajes por minuto
Este nivel de visibilidad permite a los atacantes optimizar sus campañas de propagación, ajustando parámetros para maximizar el alcance y minimizar errores.
Un historial persistente de amenazas en América Latina
Astaroth no es un actor nuevo en el ecosistema de amenazas. Detectado por primera vez en 2015, este troyano bancario ha tenido como objetivo principal a usuarios de América Latina, con especial énfasis en Brasil. En 2024, múltiples campañas asociadas a grupos rastreados como PINEAPPLE y Water Makara utilizaron correos electrónicos de phishing para distribuir el malware.
Más recientemente, firmas como Trend Micro y Sophos han documentado campañas similares. En noviembre de 2025, Sophos informó sobre la operación STAC3150, una campaña de distribución en múltiples etapas que afectó mayoritariamente a usuarios de WhatsApp en Brasil, representando más del 95% de los dispositivos comprometidos.
Implicaciones de seguridad y conclusiones
La campaña Boto Cor-de-Rosa confirma una tendencia clara: los troyanos bancarios están migrando hacia plataformas de mensajería instantánea para maximizar su impacto. El uso de WhatsApp como vector de ataque, combinado con código modular en múltiples lenguajes y capacidades de auto-propagación, eleva significativamente el nivel de riesgo para usuarios y organizaciones.
Para los equipos de seguridad, este escenario refuerza la necesidad de concienciación del usuario, controles de ejecución de scripts, protección avanzada de endpoints y una vigilancia continua sobre comportamientos anómalos en sistemas Windows. A medida que los atacantes perfeccionan sus técnicas, la detección temprana y la educación siguen siendo piezas clave para mitigar el impacto de amenazas como Astaroth.
Fuente: The Hacker News
