Astaroth es un troyano que utiliza WhatsApp como vector de distribución para realizar ataques dirigidos. 

Según los investigadores, hay una nueva campaña en Brasil contra la aplicación de mensajería que, a través de un troyano bancario de Windows, envían sistemas maliciosos a los usuarios. 

La campaña fue bautizada como Boto Cor-de-Rosa por la Unidad de Investigación de Amenazas de Acronis. 

Explica que el malware recupera la lista de contactos de WhatsApp de la víctima y envía mensajes maliciosos para propagar la infección. 

Astaroth, también llamado Guildma, es un malware bancario detectado en actividad desde 2015, dirigido principalmente a usuarios de Latinoamérica, especialmente de Brasil, para facilitar el robo de datos. 

En 2024, se observaron dos clústeres de amenazas diferentes, identificados como PINEAPPLE y Water Makara, que utilizaban correos electrónicos de phishing para propagar malware. 

El uso de WhatsApp como vehículo de distribución de troyanos bancarios es una nueva táctica que ha cobrado fuerza entre los actores de amenazas que atacan a los usuarios brasileños, impulsada por el uso generalizado de la plataforma de mensajería en el país. 

Sophos, en un informe publicado en noviembre de 2025, afirmó estar rastreando una campaña de distribución de malware multietapa, con nombre en código STAC3150, dirigida a usuarios de WhatsApp en Brasil con Astaroth. 

Más del 95 % de los dispositivos afectados se encontraban en Brasil, y el resto de las infecciones se encontraban dispersas en Estados Unidos y Austria. 

El malware distribuye archivos ZIP que contienen un script de descarga que recupera un script de PowerShell o Python para recopilar datos de usuarios de WhatsApp y así propagarse, junto con un instalador MSI que implementa el troyano. 

Los últimos hallazgos de Acronis son una continuación de esta tendencia, donde los archivos ZIP distribuidos a través de mensajes de WhatsApp actúan como punto de partida para la infección de malware.

Un módulo de propagación basado en Python que recopila los contactos de WhatsApp de la víctima y reenvía automáticamente un archivo ZIP malicioso a cada uno de ellos, lo que facilita la propagación del malware de forma similar a un gusano. 

Un módulo bancario que opera en segundo plano y monitoriza continuamente la actividad de navegación web de la víctima. 

Se activa al visitar URLs relacionadas con servicios bancarios para recopilar credenciales y obtener beneficios económicos.

Este nuevo ataque nos demuestra que la perfección de los delincuentes deja en evidencia que necesitamos más que nunca a profesionales de ciberseguridad comprometidos con la causa.