Contáctenos
Plataforma Cloud
  • Comunicado de Emergencia, Cyber Threat Intelligence

SEK Identifica Campaña de Estafa en WhatsApp con Falso Comprobante de Pago

SEK ha identificado una nueva campaña de ciberataques dirigida a empresas brasileñas a través de WhatsApp.
Los delincuentes utilizan números de teléfono aparentemente legítimos para distribuir archivos maliciosos disfrazados de comprobantes de pago,comprometiendo la seguridad de organizaciones en diversos sectores del país.

La estrategia de los atacantes es sofisticada y aprovecha la confianza establecida mediante la comunicación por WhatsApp.El enfoque comienza con un saludo cordial, seguido del nombre o número de la persona que recibe el mensaje, creando una apariencia de legitimidad. A continuación, los criminales envían un archivo comprimido en formato ZIP, acompañado de un mensaje que afirma: “Visualización permitida solamente en computadoras. Si está utilizando el navegador Chrome, se le puede solicitar ‘Mantener’ el archivo…”.
Esta instrucción fue elaborada específicamente para despertar la curiosidad de la víctima e incentivarla a descargar y abrir el archivo malicioso.

El análisis técnico realizado por SEK reveló que el archivo comprimido contiene un acceso directo que, en realidad, es una línea de comando ofuscada. Cuando se ejecuta, este acceso directo abre una solicitud a dominios maliciosos controlados por los atacantes, que incluyen:
zapgrande[.]com, sorvetenopote[.]com, expansiveuser[.]com y etenopote[.]com, además de las direcciones IP 23[.]227[.]203[.]148 y 109[.]176[.]30[.]141.

Estas solicitudes descargan el payload malicioso, establecen persistencia en el sistema comprometido y configuran un canal de comando y control con el framework Havoc.

Havoc es una herramienta de acceso remoto de código abierto muy utilizada por ciberdelincuentes por su versatilidad y capacidad de evasión. Una vez establecido el comando y control, los atacantes pueden capturar credenciales, robar información confidencial, monitorear actividades del usuario y utilizar el sistema comprometido como puerta de entrada a ataques más complejos.

El uso de números legítimos de WhatsApp hace que esta campaña sea particularmente peligrosa, ya que las víctimas pueden reconocer el número y creer que el mensaje proviene de una fuente confiable. Además, el contexto de comprobantes de pago resulta especialmente eficaz en el entorno corporativo brasileño.
SEK profundizó en campañas similares en nuestro Boletín de Inteligencia:

https://links.sek.io/bdi-golpeboletofalso2

SEK ya ha añadido los dominios y direcciones IP identificados en esta campaña a los mecanismos de detección y bloqueo en los entornos de los clientes bajo nuestra gestión.

Recomendaciones:

  • Establecer programas continuos de concientización sobre ciberseguridad, capacitando a los empleados para reconocer intentos de ingeniería social.
  • Implementar políticas estrictas de verificación para cualquier archivo recibido mediante mensajería instantánea antes de abrirlos en dispositivos corporativos.
  • Configurar soluciones antimalware robustas y actualizadas en todos los endpoints.
  • Mantener monitoreo continuo 24/7 para identificar comportamientos anómalos, con capacidad de respuesta especializada a incidentes.
  • Adoptar soluciones de Threat Intelligence para mantener al equipo informado sobre campañas activas e indicadores de compromiso.

SEK permanece a disposición para aclarar dudas, implementar medidas de protección y responder a cualquier incidente relacionado con esta campaña.

 

Más contenido como este:
  • Comunicado de Emergencia, Cyber Threat Intelligence

Vulnerabilidad Crítica en Fortra GoAnywhere MFT Explotada por Atacantes

Fortra GoAnywhere MFT, ampliamente utilizada para la transferencia de archivos, ha estado bajo explotación activa desde el 10 de septiembre de 2025

LEER MÁS
  • Cyber Threat Intelligence, Notificación de Vulnerabilidades

NDV Extraordinaria – VMware Aria Operations y VMware Tools

Broadcom reveló la CVE-2025-41244 (CVSS 7.8) en VMware Aria/Tools, zero-day explotada por actores chinos.

LEER MÁS
Accede a más contenido
Dónde estamos
Argentina

Esmeralda 1042, piso 10, CABA, Buenos Aires

Brasil

Av. Tamboré, nº 267, 13º andar, conjunto 131B, Salas 1 e 2, parte, Torre Norte, Bloco B, Alphaville, CEP 06460-000, Cidade de Barueri - São Paulo

Colombia

Autopista Norte # 114 - 44 oficina 404 Edificio Invention Center

Chile

Avenida Suecia 0155 Piso 14, Santiago

Peru

Av. Del Pinar 152 Of. 1101 Chacarilla del Estanque, Santiago de Surco, Lima

Sigue al SEK en las redes sociales
Linkedin Youtube
Canal de transparencia
La información enviada a través de este canal se mantendrá confidencial, al igual que su identidad.
Realizar el informe
Acceder al manual
Contáctenos
Plataforma Cloud
Linkedin Youtube
Whatsapp
Aviso de cookies
SEK

SEK respeta su privacidad y se compromete con el tratamiento de sus datos personales. Para ello, hemos elaborado este Aviso de Cookies para explicarle cómo utilizamos cookies en su navegación en nuestro sitio web e indicar cuáles son los cookies utilizados.

Cookies estrictamente necesarios

Necesitamos recolectar ciertos cookies para que nuestro sitio web funcione correctamente. No es posible rechazar estos cookies si desea acceder al sitio web.

Cookies de rendimiento/análisis

Nos permiten contar visitas y fuentes de tráfico para que podamos medir y mejorar el rendimiento de nuestro sitio web. Nos ayudan a analizar, por ejemplo, qué páginas son las más y menos populares y a ver cómo los visitantes se mueven en nuestro sitio web.

Cookies de preferencia

Nos permiten personalizar la experiencia del usuario sin que tenga que reconfigurar las preferencias en cada visita al sitio, registrando opciones individuales, como el idioma preferido, el diseño o las configuraciones de accesibilidad.