Alerta phishing: en Argentina se está propaga un malware que roba datos bancarios

Buenos Aires-(Nomcy)-La alerta fue generada por la propagación de un nuevo Malware, llamado SORVEPOTEL o Water Saci, que tiene la misión de robar credenciales bancarias y de criptomonedas, a través de algo tan diario que podrías no sospechar: se extiende a través de WhatsApp Web.

Target del virus: aunque el principal perfil de los objetivos son personas que trabajan en el sector financiero/empresarial, las víctimas son bastante más amplias, ya que se registraron afectados en áreas como el gobierno y servicios públicos, manufactura, tecnología, educación y construcción.

Cómo te afecta el virus: su fin es robar datos bancarios, tokens de autenticación y de criptomonedas, tomar el control de la computadora y reenviar el archivo infectado a todos tus contactos de WhatsApp Web, sin que se note. 

Esto es lo que se conoce como Phising, que se basa en suplantar la identidad de los usuarios para completar su cometido: usa la confianza entre contactos para distribuir archivos maliciosos y para que ese archivo infectado le llegue, su contacto también debió verse expuesto a él, ya que se transmite en cadena también, se registró su propagación a través de herramientas de Desktop como Selenium y ChromeDriver, y hasta correo electrónico.

Cómo funciona el malware SORVEPOTEL:

1. Recibís un mensaje de uno de tus contactos con un archivo comprimido (.ZIP) que contiene un acceso directo (.LNK) disfrazado de documento. Este documento puede ser un supuesto presupuesto, una factura, informes de salud o algo por el estilo.
2. Si lo abrís, se ejecutan comandos ocultos en PowerShell que descargan otro archivo (.BAT) y lo colocan en la carpeta de inicio para que el malware se mantenga activo.
3. Ese archivo instala un troyano que roba tus datos mediante técnicas como superposición de ventanas y captura de pantalla.
4. Se propaga rápidamente usando tu cuenta de WhatsApp para comprometer a tus contactos.

X Sec, una comunidad de ciberseguridad, compartió algunos detalles de cómo se instala el virus en una PC y por ejemplo, aclaró que el mensaje está escrito en portugués, ya que el objetivo geográfico tiene sus raíces en Brasil, aunque se  extendió a instituciones financieras de toda América Latina y ya ha llegado a la Argentina, por lo que el mensaje dice “baixa o zip no PC e abre”, es decir descargá el ZIP en la PC y abrilo.

Una vez que se lo abre, tu sistema se infecta y el virus empieza a propagarse. Está diseñado principalmente para detectar sesiones abiertas de WhatsApp Web en el equipo comprometido y si la encuentra, la secuestra y así es como se distribuye a todos tus contactos y grupos, provocando, a su vez, que te suspendan o bloqueen la cuenta debido al spam que, en realidad, vos no iniciaste.

Prevención: para protegerse, el Gobierno de la Ciudad señala algunas recomendaciones a tener en cuenta:

• No abrir ni ejecutar archivos ZIP o accesos directos que te llegue por WhatsApp, no importa de quién provenga.  
• Desactivar la descarga automática de archivos en WhatsApp Web y otras herramientas Desktop.

En el caso de que se sospeche que su equipo está afectado:

• Ejecutar un análisis de antivirus actualizado.  
• Cambiar las contraseñas de todas tus cuentas bancarias o de criptomonedas.  
• Mantenerse alerta frente a cualquier movimiento extraño que pueda haber en tus cuentas.

Nomyc-11-11-25