SORVEPOTEL: el malware que convierte WhatsApp en un arma de ataque masivo

La amenaza conocida como SORVEPOTEL, identificada dentro de la campaña “Water Saci”, ha llamado la atención de la comunidad de ciberseguridad en América Latina debido a su capacidad de expansión y a la manera innovadora en que utiliza plataformas de mensajería como WhatsApp para propagarse. Este malware convierte un medio de comunicación cotidiano en un mecanismo de ataque masivo, explotando la confianza entre contactos conocidos para infiltrarse en entornos personales y corporativos.

Visión general de la amenaza

· Nombre del malware: SORVEPOTEL (Campaña Water Saci)

·  Tipo de amenaza: malware con comportamiento de gusano, troyano bancario y capacidades de espionaje de información.

· Vector principal: mensajes de phishing distribuidos por WhatsApp desde cuentas previamente comprometidas.

· Región afectada: principalmente Brasil, con proyección hacia otros países de América Latina.

· Sectores vulnerables: gobierno, industria, educación, servicios públicos, tecnología y construcción.

·  Impacto observado: rápida diseminación, bloqueo de cuentas comprometidas y robo de credenciales financieras y tokens de autenticación.

SORVEPOTEL combina un mecanismo viral de propagación con componentes financieros avanzados, lo que lo convierte en una amenaza multifacética. A continuación, se detalla cómo logra infectar y mantenerse activo dentro de los sistemas afectados.

Vector de infección y propagación

El uso de WhatsApp como canal de ataque es una decisión estratégica. A diferencia del correo electrónico, donde las soluciones de seguridad suelen ser más estrictas, las plataformas de mensajería instantánea ofrecen un entorno más confiable para el usuario y con menor visibilidad para los equipos de seguridad. El ataque se inicia desde una cuenta ya comprometida, lo que incrementa las probabilidades de que el destinatario abra el archivo malicioso.

La víctima recibe un mensaje en portugués con un archivo ZIP adjunto, disfrazado de documento común como un recibo o presupuesto. El mensaje suele incluir instrucciones como “baixa o zip no PC e abre”, apelando a la confianza entre contactos. Una vez descargado y abierto el archivo, el usuario activa el proceso de infección.

El malware analiza si existen sesiones activas de WhatsApp Web en el equipo. Si las encuentra, las secuestra para reenviar el archivo a todos los contactos y grupos asociados. Este comportamiento de auto-replicación garantiza una expansión veloz y, al mismo tiempo, suele provocar la suspensión de las cuentas afectadas por comportamiento anómalo.

Cadena técnica del ataque

Aunque el primer contacto parece simple, la estructura interna del ataque es compleja y bien planificada, diseñada para persistir y extraer información sin ser detectada.

Fase 1: Acceso inicial

1. Archivo ZIP malicioso: contiene un acceso directo (.lnk) que oculta la verdadera carga útil. 

2. Ejecución del .lnk: al abrirlo, se ejecuta un script de PowerShell ofuscado que descarga otro componente. 

3. Descarga del payload: el script se comunica con un servidor C2 para obtener un archivo .bat que inicia la siguiente etapa.

Fase 2: Persistencia y comunicación

El script .bat se copia en la carpeta de inicio de Windows, garantizando su ejecución tras cada reinicio. Posteriormente, establece contacto con los servidores C2 utilizando comandos codificados en Base64 para disfrazar la comunicación. Este canal permite descargar nuevos módulos directamente en memoria, dificultando su detección por soluciones antivirus tradicionales.

Fase 3: Payloads y capacidades maliciosas

Investigaciones de TrendMicro revelan que SORVEPOTEL integra un componente financiero denominado Maverick, dividido en varias partes:

· Loader .NET DLL: se carga en memoria, busca herramientas de análisis (como Wireshark o IDA) y descarga dos payloads desde el servidor C2. 

·   Maverick.StageTwo: troyano espía que monitorea la actividad del navegador y detecta acceso a sitios de más de 60 instituciones financieras, principalmente brasileñas. 

· Maverick.Agent: encargado de recolectar datos del sistema, registrar pulsaciones, capturar pantallas y desplegar superposiciones falsas para robar credenciales bancarias y tokens. 

· Módulo de secuestro de WhatsApp: emplea Selenium para automatizar la interfaz de WhatsApp Web y seguir propagando el malware.

Maverick.Agent también verifica si el sistema pertenece a Brasil, analizando la configuración regional, zona horaria y formato de fecha. Solo continúa la ejecución si cumple con al menos dos de estos criterios, lo que explica su predominancia en ese país.

Además, este módulo funciona como una puerta trasera, permitiendo ejecutar comandos remotos, manipular ventanas y realizar ataques de phishing interactivo mediante ventanas falsas que simulan autenticaciones bancarias.

Perfil de víctimas e impacto

Los registros de telemetría confirman que la campaña se concentra en Brasil (457 de 477 casos detectados). Los sectores afectados van desde entidades gubernamentales hasta instituciones privadas, reflejando una campaña cuidadosamente dirigida.

Efectos principales:

·       Interrupción de comunicaciones: suspensión de cuentas comprometidas, afectando la continuidad operativa de empresas que usan WhatsApp para atención o coordinación interna.

·       Fraude financiero: robo de credenciales, tokens MFA y acceso a cuentas bancarias mediante técnicas de superposición y phishing.

·       Daño reputacional: pérdida de confianza entre contactos y clientes al recibir archivos maliciosos desde cuentas legítimas.

Medidas de mitigación y recomendaciones

Una defensa efectiva frente a SORVEPOTEL requiere una estrategia integral que combine concienciación, políticas corporativas y soluciones técnicas.

Para usuarios

·       Verificar la autenticidad de archivos: nunca abrir ZIP o accesos directos inesperados, incluso si provienen de contactos conocidos. 

·       Desactivar descargas automáticas: evitar que WhatsApp descargue archivos sin intervención del usuario.

Para equipos de seguridad

·       Implementar soluciones EDR: detectar y detener la ejecución de scripts sospechosos (.lnk, PowerShell). 

· Monitorear tráfico de red: identificar patrones inusuales y bloquear comunicación con dominios C2. 

·  Regular el uso de dispositivos personales (BYOD): limitar el intercambio de archivos no autorizados en entornos corporativos.

Para organizaciones

· Capacitación continua: entrenar al personal en reconocimiento de engaños por mensajería instantánea.

· Gestión de respaldos: mantener copias de seguridad regulares para garantizar la continuidad en caso de incidente.

·  Comunicación formal: promover el uso de canales institucionales controlados para información sensible.

Conclusión

SORVEPOTEL representa una evolución de los métodos de ataque digitales en la región. Su éxito radica en el aprovechamiento del factor humano y de las aplicaciones cotidianas para distribuir malware de forma masiva. Combatir amenazas de este tipo exige mantener una vigilancia constante, reforzar la ciberhigiene y fortalecer la colaboración entre equipos técnicos y usuarios.

Autor: Alejandro Saldías

Fuentes

·       https://thehackernews.com/2025/10/researchers-warn-of-self-spreading.html

·       https://www.trendmicro.com/en_gb/research/25/j/self-propagating-malware-spreads-via-whatsapp.html

·       https://cybersecuritynews.com/threat-actors-attack-windows-systems-with-sorvepotel-malware/