AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Cibercriminales aprovechan el secuestro de WhatsApp y Delphi para propagar Eternidade Stealer en Brasil

admin

Introducción

Un nuevo informe de investigadores en ciberseguridad ha puesto sobre la mesa una campaña de amenazas activas que combina técnicas de ingeniería social con el secuestro de cuentas de WhatsApp para distribuir Eternidade Stealer, un troyano bancario desarrollado en Delphi. El objetivo principal son usuarios en Brasil, un país históricamente asediado por amenazas financieras. Este artículo expone en detalle los mecanismos técnicos, la cadena de ataque y las implicaciones para el sector.

Contexto del Incidente

El ecosistema brasileño es especialmente atractivo para los operadores de malware bancario, con campañas recurrentes que explotan las peculiaridades de los sistemas financieros locales y la masificación de plataformas de mensajería como WhatsApp. El reciente ataque destaca por la integración de ingeniería social, suplantación de identidad y el uso de canales legítimos para el control y la actualización de instrucciones maliciosas.

En este caso, la infección se inicia mediante mensajes fraudulentos enviados a través de cuentas de WhatsApp previamente comprometidas. El objetivo es persuadir a nuevos usuarios para que descarguen y ejecuten un archivo malicioso, disfrazado habitualmente de documento o aplicación legítima. El archivo, desarrollado en Delphi, contiene el núcleo de Eternidade Stealer, un stealer modular con capacidades bancarias y de robo de información sensible.

Detalles Técnicos

El troyano Eternidade Stealer utiliza un enfoque innovador para la comunicación con su infraestructura de comando y control (C2). En lugar de codificar direcciones de servidores C2 en el binario, emplea el protocolo IMAP para recuperar dinámicamente los endpoints de C2 desde una cuenta de correo controlada por los atacantes. Esta táctica proporciona resiliencia frente a bloqueos de dominios y permite modificar rápidamente la infraestructura C2 sin necesidad de modificar el malware ya desplegado.

– CVE y Exploits: Hasta la fecha, no se ha asignado un CVE específico para esta campaña, ya que la intrusión depende más de la ingeniería social que de la explotación de vulnerabilidades de software.
– Vectores de ataque: Mensajería instantánea (WhatsApp), ingeniería social, archivos ejecutables adjuntos.
– TTP MITRE ATT&CK: T1566 (Phishing), T1071.004 (Application Layer Protocol: Email), T1027 (Obfuscated Files or Information), T1090 (Proxy).
– IoC: Dominios de correo IMAP, hashes de ejecutables Delphi, direcciones IP de C2, cadenas identificativas en los binarios asociados.
– Herramientas: El stealer cuenta con módulos para keylogging, exfiltración de credenciales almacenadas en navegadores y clientes FTP, así como capacidades para secuestrar sesiones bancarias en línea.

Impacto y Riesgos

El impacto de Eternidade Stealer es significativo por varios motivos:

– Compromiso financiero directo: Robo de credenciales bancarias y acceso a cuentas de banca online.
– Expansión lateral: Uso de cuentas de WhatsApp secuestradas para extender la campaña en la red de contactos de la víctima, maximizando la tasa de infección.
– Persistencia y evasión: La actualización dinámica de C2 vía IMAP dificulta el bloqueo efectivo de la infraestructura maliciosa.
– Exfiltración de datos sensibles: Credenciales, historiales de navegación, datos de autofill y archivos personales.
– Impacto económico: Según estimaciones de campañas similares, las pérdidas pueden superar los 10 millones de dólares en pocos meses.

Medidas de Mitigación y Recomendaciones

Para reducir el riesgo de infección y propagación, se recomienda:

– Endurecimiento de la autenticación en WhatsApp (activación de la verificación en dos pasos).
– Filtrado y monitorización de tráfico IMAP en endpoints y servidores de correo corporativos.
– Análisis forense de artefactos Delphi y monitorización de hashes IoC conocidos.
– Formación continua en concienciación sobre ingeniería social para empleados y usuarios.
– Implementación de soluciones EDR con capacidades de detección de stealer y comportamientos anómalos.
– Actualización constante de las listas de bloqueo de C2 y reglas YARA específicas para Eternidade Stealer.

Opinión de Expertos

Consultores de ciberseguridad de empresas como Kaspersky y ESET advierten que el uso de canales legítimos como IMAP para el control de malware supone un serio desafío para los equipos SOC, ya que dificulta la identificación de tráfico malicioso. Asimismo, subrayan la necesidad de una aproximación holística al threat hunting, combinando inteligencia de amenazas con monitorización activa de logs en tiempo real.

Implicaciones para Empresas y Usuarios

La campaña pone de manifiesto la urgencia de fortalecer la ciberresiliencia, especialmente en entidades financieras y organizaciones con operaciones en Brasil. El uso de canales de mensajería ampliamente adoptados como WhatsApp multiplica las superficies de ataque y exige controles adicionales tanto a nivel de usuario como de infraestructura. Para las empresas sujetas a normativas como GDPR o la nueva NIS2, una brecha de datos derivada de este tipo de ataques puede acarrear sanciones millonarias y un grave daño reputacional.

Conclusiones

La propagación de Eternidade Stealer a través de técnicas combinadas de ingeniería social y secuestro de WhatsApp representa una amenaza sofisticada y en plena evolución, que explota tanto vulnerabilidades humanas como tecnológicas. La adaptación de los operadores de malware a canales legítimos y la modularidad del troyano exigen una respuesta coordinada, proactiva y basada en inteligencia para mitigar su impacto. La concienciación, la detección avanzada y la colaboración sectorial serán claves para contener futuras oleadas.

(Fuente: feeds.feedburner.com)