https://pepelac.news/es/posts/id12685-malware-en-whatsapp-campana-stac3150-masiva-segun-sophos

Malware en WhatsApp: campaña STAC3150 masiva, según Sophos

STAC3150: nueva campaña de malware en WhatsApp con Astaroth

Malware en WhatsApp: campaña STAC3150 masiva, según Sophos

Sophos alerta sobre STAC3150, una campaña de malware que se propaga por WhatsApp mediante phishing, PowerShell y Astaroth. Detalles y tácticas. En Brasil.

2025-11-25T23:59:06+03:00

Especialistas de Sophos han detectado una campaña de malware a gran escala que se propaga a través de WhatsApp. La operación, identificada como STAC3150, está activa desde el 24 de septiembre de 2025 y ya ha afectado a más de 250 usuarios. Los atacantes mantienen una infraestructura cambiante y renuevan con frecuencia su arsenal, lo que la convierte en un objetivo en constante movimiento para quienes intentan detenerla.El ataque arranca con un mensaje de phishing en portugués. Se insta al destinatario a abrir un archivo supuestamente de visualización única, pero, en lugar de un documento, recibe un archivo ZIP. Dentro hay scripts VBS o HTA que activan PowerShell y descargan módulos maliciosos adicionales. El anzuelo es simple y directo, suficiente para confundirse con el tráfico cotidiano de los chats y desarmar sospechas.A finales de septiembre, esos módulos se comunicaban con los servidores de los operadores mediante IMAP y extraían la segunda fase desde buzones especialmente preparados. A comienzos de octubre, el esquema cambió: las descargas pasaron a realizarse por HTTP desde el dominio varegjopeaks[.]com. Desde allí, scripts de PowerShell y Python toman el control y usan Selenium WebDriver y WPPConnect para automatizar la interceptación de sesiones de WhatsApp Web. Eso permite robar tokens, copiar listas de contactos y propagar de forma automática los ZIP infectados a la siguiente tanda de víctimas, con lo que las cuentas comprometidas se convierten en amplificadores involuntarios.A finales de octubre, la campaña volvió a evolucionar con la introducción de un instalador MSI que entrega el troyano bancario Astaroth (Guildma). Tras la instalación, crea archivos auxiliares, se añade al inicio del sistema y lanza un script malicioso de AutoIt disfrazado de archivo .log rutinario. Según Sophos, la mayoría de las infecciones detectadas se concentran en Brasil y las tácticas cambian a gran velocidad, en línea con el patrón general de giros rápidos de la campaña, un ritmo que deja poco margen de reacción a los equipos de seguridad.

malware WhatsApp, STAC3150, Sophos, campaña de malware, phishing, PowerShell, Astaroth, Guildma, troyano bancario, Selenium WebDriver, WPPConnect, IMAP, HTTP, Brasil, WhatsApp Web

2025

Danny Weber

news

STAC3150: nueva campaña de malware en WhatsApp con Astaroth

Sophos alerta sobre STAC3150, una campaña de malware que se propaga por WhatsApp mediante phishing, PowerShell y Astaroth. Detalles y tácticas. En Brasil.

Danny Weber, Editor

23:59 25-11-2025

El ataque arranca con un mensaje de phishing en portugués. Se insta al destinatario a abrir un archivo supuestamente de visualización única, pero, en lugar de un documento, recibe un archivo ZIP. Dentro hay scripts VBS o HTA que activan PowerShell y descargan módulos maliciosos adicionales. El anzuelo es simple y directo, suficiente para confundirse con el tráfico cotidiano de los chats y desarmar sospechas.

A finales de septiembre, esos módulos se comunicaban con los servidores de los operadores mediante IMAP y extraían la segunda fase desde buzones especialmente preparados. A comienzos de octubre, el esquema cambió: las descargas pasaron a realizarse por HTTP desde el dominio varegjopeaks[.]com. Desde allí, scripts de PowerShell y Python toman el control y usan Selenium WebDriver y WPPConnect para automatizar la interceptación de sesiones de WhatsApp Web. Eso permite robar tokens, copiar listas de contactos y propagar de forma automática los ZIP infectados a la siguiente tanda de víctimas, con lo que las cuentas comprometidas se convierten en amplificadores involuntarios.

A finales de octubre, la campaña volvió a evolucionar con la introducción de un instalador MSI que entrega el troyano bancario Astaroth (Guildma). Tras la instalación, crea archivos auxiliares, se añade al inicio del sistema y lanza un script malicioso de AutoIt disfrazado de archivo .log rutinario. Según Sophos, la mayoría de las infecciones detectadas se concentran en Brasil y las tácticas cambian a gran velocidad, en línea con el patrón general de giros rápidos de la campaña, un ritmo que deja poco margen de reacción a los equipos de seguridad.