Alerta de Sophos: mensajes de tus contactos en WhatsApp están propagando malware bancario con archivos falsos

 La amenaza se activa cuando la víctima abre un archivo ZIP enviado desde una sesión de WhatsApp Web
previamente comprometida; al ejecutarlo, se cargan comandos de PowerShell que instalan malware
especializado en robo bancario.

Investigadores de la unidad de amenazas de Sophos revelaron una campaña activa que se propaga
por WhatsApp Web y que busca instalar un troyano bancario en computadores de las víctimas.
Aunque el foco inicial está en Brasil, la técnica empleada, basada en mensajes que parecen
provenir de contactos conocidos, eleva el nivel de riesgo para cualquier país donde WhatsApp
Web tenga alta penetración, como Colombia.
Según Sophos, la campaña comenzó el 29 de septiembre de 2025 y ya ha producido actividad
temprana en más de 400 entornos corporativos, con más de 1.000 equipos donde se ha
detectado la ejecución inicial del ataque. El vector principal es un mensaje recibido en WhatsApp
Web que incluye un archivo ZIP con nombres que simulan comprobantes, presupuestos u otros
documentos legítimos. Dentro del ZIP se encuentra un archivo LNK (un acceso directo de
Windows) que, al abrirse, ejecuta PowerShell en segundo plano para descargar y activar el troyano
bancario.
El diseño de la operación aprovecha dos factores humanos: la confianza en un contacto conocido,
porque el mensaje proviene de una sesión ya infectada, y la instrucción engañosa de que el
archivo “solo puede verse en el computador”, lo que empuja al usuario a abrirlo desde
WhatsApp Web sin sospechar. Una vez comprometido el equipo, el malware replica el mismo
mensaje a los contactos del usuario y continúa su propagación.
El troyano está diseñado para capturar credenciales y acceder a operaciones financieras, con
especial énfasis en bancos y plataformas de criptomonedas que operan en Brasil, aunque su lógica
es adaptable a otros mercados.
¿Qué recomienda Sophohs para reducir el riesgo?
1. No abrir archivos ZIP recibidos por WhatsApp, aunque vengan de contactos conocidos.
2. Desconfiar de mensajes que insisten en “abrir desde el computador” o desde WhatsApp
Web.
3. Restringir ejecución de PowerShell en equipos no administrados o sin necesidad operativa.
4. Mantener soluciones de seguridad actualizadas y con bloqueo de comportamiento, no
solo antivirus tradicional.

5. Capacitar a usuarios sobre ingeniería social vía mensajería instantánea, no solo vía correo
electrónico.