Netcrook Logo
👤 NEONPALADIN
🗓️ 16 Nov 2025   🌍 South America

Forajidos Digitales de Brasil: Los Troyanos Bancarios Coyote y Maverick Aprovechan el Salvaje Oeste de WhatsApp

Campañas de malware hiperlocalizadas están arrasando Brasil, acechando a usuarios de WhatsApp y vaciando cuentas bancarias con tácticas cada vez más astutas.

Datos Rápidos

  • Coyote y Maverick son troyanos bancarios que apuntan principalmente a usuarios brasileños de WhatsApp en escritorio.
  • Se han rastreado más de 450 infecciones en los sectores público y privado, y se sospecha que hay miles más.
  • Las víctimas reciben archivos zip maliciosos, lo que lleva al robo de credenciales y a la propagación del malware a través de sus listas de contactos.
  • El malware se autodestruye fuera de Brasil, mostrando una sofisticación de geolocalización poco común.
  • La vasta base de usuarios de WhatsApp en Brasil lo convierte en un terreno de caza ideal para los ciberdelincuentes.

Bandidos Cibernéticos de Brasil: Una Nueva Generación

Imagina el panorama digital de Brasil como un bullicioso mercado, pero entre la multitud acechan carteristas con un giro de alta tecnología. En 2024, los troyanos bancarios Coyote y Maverick surgieron como los últimos forajidos cibernéticos, merodeando entre los millones de usuarios de WhatsApp del país y sustrayendo sus secretos financieros. Estas cepas de malware no son simplemente oportunistas: están diseñadas para Brasil, con una precisión y enfoque pocas veces vistos en el cibercrimen global.

Cómo Funciona el Atraco

El ataque comienza de manera inocente: llega un mensaje de un contacto conocido, con un archivo zip y una solicitud casual para abrirlo. Sin que la víctima lo sepa, al abrir el archivo se desencadena una reacción en cadena. Un archivo de acceso directo en su interior ejecuta comandos ocultos de PowerShell, conectando la computadora a un servidor de comando y control. Desde allí, el troyano descarga su carga útil, recolectando en silencio credenciales bancarias y de criptomonedas. Luego, el malware se replica usando la propia lista de contactos de la víctima para propagarse, como una contagiosa infección digital que salta de un huésped a otro.

Tanto Coyote como Maverick están escritos en el lenguaje de programación .NET y comparten código para monitorear aplicaciones bancarias. Maverick, en particular, verifica si el usuario está en Brasil y se apaga si no es así - una rara muestra de “ventaja local” en el mundo del malware.

¿Por Qué Brasil? ¿Por Qué WhatsApp?

La afinidad de Brasil por WhatsApp - con más de 148 millones de usuarios - lo convierte en un terreno fértil para este tipo de ataques. Al apuntar a usuarios de WhatsApp en escritorio, los troyanos explotan la confianza y la frecuencia de comunicación en la plataforma. La mayoría de las víctimas pertenecen al sector público, pero organizaciones de manufactura, educación y tecnología también han sido afectadas. Expertos sugieren que, a medida que la economía digital y la influencia global de Brasil crecen, atrae tanto a ciberdelincuentes locales como extranjeros en busca de presas fáciles.

No es la primera vez que Brasil enfrenta malware bancario. El país tiene una larga historia como campo de pruebas para el cibercrimen financiero, con campañas previas como Banrisul y estafas de Boleto. Pero la hiperlocalización de Coyote y Maverick - malware que simplemente se niega a ejecutarse fuera de Brasil - marca un nuevo capítulo en los ataques dirigidos.

Lecciones del Frontera Digital

El auge de Coyote y Maverick es un recordatorio contundente: incluso las aplicaciones de confianza y los contactos familiares pueden ser convertidos en armas. Organizaciones e individuos deben permanecer vigilantes, aprendiendo a detectar cebos de phishing y fortaleciendo sus defensas digitales. En el cambiante panorama del cibercrimen, la experiencia de Brasil pronto podría repetirse en otras regiones, a medida que los criminales perfeccionan sus estrategias para presas locales.

La caza de forajidos digitales continúa - en WhatsApp, en Brasil y más allá.

WIKICROOK

  • Troyano Bancario: Un troyano bancario es un malware que apunta a datos financieros robando credenciales bancarias e información personal, a menudo imitando aplicaciones de confianza.
  • Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, que le indica realizar acciones específicas, a veces con fines maliciosos.
  • .NET: .NET es un marco de software de Microsoft utilizado para crear aplicaciones multiplataforma. Soporta varios lenguajes y a veces es usado en el desarrollo de malware.
  • PowerShell: PowerShell es una herramienta de scripting de Windows utilizada para automatización, pero los atacantes suelen explotarla para realizar acciones maliciosas de forma sigilosa.
  • Phishing: El phishing es un delito cibernético en el que los atacantes envían mensajes falsos para engañar a los usuarios y hacer que revelen datos sensibles o hagan clic en enlaces maliciosos.
Brazil WhatsApp Banking Trojans
NEONPALADIN NEONPALADIN
Cyber Resilience Engineer
← Back to news