Obtenga un escaneo gratuito y verifique si su computadora está infectada.
ELIMÍNELO AHORAPara usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.
¿Qué tipo de malware es SORVEPOTEL?
SORVEPOTEL es un software malicioso utilizado para obtener información bancaria. Es capaz de propagarse rápidamente a través del servicio de mensajería y comunicación WhatsApp. SORVEPOTEL se ha utilizado para atacar a usuarios en Brasil. Este malware ha comprometido instituciones gubernamentales brasileñas y organizaciones de los ámbitos de la construcción, la tecnología y la educación.
Descripción general del malware SORVEPOTEL
Como se menciona en la introducción, SORVEPOTEL puede propagarse por sí mismo a través de cuentas de WhatsApp que el propio malware es capaz de comprometer. Las cuentas afectadas se utilizan para enviar mensajes engañosos en portugués a todos los contactos y grupos. Los mensajes distribuyen un archivo ZIP malicioso al que supuestamente solo se puede acceder a través del ordenador.
El texto exacto puede variar, pero el objetivo es atraer a los destinatarios para que descarguen y abran el archivo comprimido. El ZIP contiene un archivo LNK (acceso directo de Windows) que, al ejecutarse, desencadena la cadena de infección. Se trata de un proceso de varias etapas en el que intervienen varios cargadores y cargas útiles.
El primer paso es establecer contacto con un servidor C&C (Comando y Control); desde él, se descarga un script PowerShell (normalmente, en un BAT – archivo por lotes). Este script se encarga de garantizar la persistencia en el dispositivo infectado (configurándose para iniciarse automáticamente cada vez que se reinicia el sistema) y de conectarse a otro C&C.
SORVEPOTEL busca mantener el contacto con varios servidores C&C desde los que puede descargar cargas útiles posteriores. El contenido descargado se carga en la memoria. En el momento de la investigación, se observó que SORVEPOTEL utilizaba dos cargas útiles: una dirigida a datos relacionados con las finanzas y otra que secuestraba cuentas de WhatsApp y se autopropagaba a través de ellas.
El malware utiliza mecanismos antianálisis y antidepuración. El programa supervisa los navegadores activos y las URL visitadas para acceder a sitios web de interés.
En el momento de redactar este artículo, SORVEPOTEL comprobaba las visitas a varios sitios relacionados con las criptomonedas y a sitios web de bancos brasileños. Algunos de los objetivos son: Binance, Blockchain.com, Banco BMG, Banco Bradesco, Banco do Brasil, Banco Pan, Banco Safra, Banestes (Banco do Estado do Espirito Santo), Banpará, Banrisul y Caixa Econômica Federal.
La carga útil del ladrón se utiliza para robar información financiera. Esta carga útil es un ejecutable .NET que confirma si la víctima se encuentra en Brasil comprobando la configuración del sistema relacionada.
Algunos de los comandos que esta carga útil puede ejecutar incluyen: terminar procesos en ejecución, obtener una lista de ventanas abiertas, minimizar/maximizar ventanas abiertas, supervisar la actividad del ratón/teclado, realizar capturas de pantalla, registrar pulsaciones de teclas (keylogging) y mostrar pantallas superpuestas capaces de bloquear la interacción del usuario.
Cuando una víctima intenta acceder a su cuenta bancaria, el sitio web se superpone con una pantalla de phishing que registra las credenciales de inicio de sesión introducidas (por ejemplo, nombres de usuario/contraseñas, códigos 2FA/MFA, PIN, códigos QR, firmas electrónicas, etc.).
La segunda carga útil también es un ejecutable .NET. Busca sesiones activas de WhatsApp. Si se detecta una sesión de este tipo, el programa descarga Selenium y un navegador Google Chrome driver: estas herramientas se utilizan para obtener el control del navegador.
Se emplea un paquete JavaScript para acceder a las funciones internas de WhatsApp Web y aprovecharlas con fines de autopropagación (es decir, para enviar malspam que causa infecciones por SORVEPOTEL). Debido a que las cuentas se utilizan para enviar mensajes masivos, a menudo se suspenden por sospecha de spam.
Cabe mencionar que, dado que esta infección se basa en la descarga de cargas útiles, las infecciones resultantes y sus capacidades pueden variar en función del contenido que se infiltre en el dispositivo. Además, los desarrolladores de malware suelen mejorar su software y sus metodologías. Por lo tanto, las posibles iteraciones futuras de SORVEPOTEL podrían tener funcionalidades adicionales o diferentes.
En resumen, la presencia de software como SORVEPOTEL en los dispositivos puede provocar múltiples infecciones del sistema, graves problemas de privacidad, pérdidas económicas y robo de identidad.
| Nombre | SORVEPOTEL virus |
| Tipo de amenaza | Trojan, trojan bancario, malware bancario. |
| Nombres de detección | Avast (Other:Malware-gen [Trj]), Combo Cleaner (Trojan.GenericKD.77489565), Kaspersky (HEUR:Trojan.BAT.Alien.gen), Microsoft (Trojan:Win32/Alevaul!rfn), TrendMicro (Trojan.BAT.SORVEPOTEL. YAFJB), Lista completa de detecciones (VirusTotal) |
| Síntomas | Los troyanos están diseñados para infiltrarse sigilosamente en el ordenador de la víctima y permanecer en silencio, por lo que no se observan síntomas particulares en un equipo infectado. |
| Métodos de distribución | Archivos adjuntos infectados de WhatsApp o correo electrónico, anuncios maliciosos en línea, ingeniería social, «cracks» de software. |
| Daños | Robo de contraseñas e información bancaria, suplantación de identidad, incorporación del ordenador de la víctima a una red de bots. |
| Eliminación de Malware |
Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. Descargue Combo Cleaner para WindowsEl detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk. |
Ejemplos de malware bancario
Hemos investigado innumerables programas maliciosos; Osprey, BlackMoon, CarnavalHeist y CHAVECLOAK son solo algunos de nuestros artículos sobre software que se ha utilizado para robar información bancaria.
Malware es un término amplio que abarca software con diversas funciones. Por lo tanto, son estos y los objetivos de los atacantes los que determinan las amenazas que plantea la infección. Sin embargo, independientemente de cómo funcione el software malicioso, su presencia en un sistema pone en peligro la seguridad del dispositivo y del usuario. Por lo tanto, todas las amenazas deben eliminarse inmediatamente tras su detección.
¿Cómo se infiltró SORVEPOTEL en mi ordenador?
SORVEPOTEL se autopropaga a través de correos maliciosos enviados a través de WhatsApp. El malware compromete las cuentas por sí mismo. Cuando SORVEPOTEL detecta una sesión activa de WhatsApp, utiliza Selenium, un controlador de Chrome y un paquete de JavaScript para secuestrar la cuenta y utilizarla para enviar spam masivo. Los mensajes se envían a todos los contactos y grupos de la cuenta afectada.
Durante la investigación, SORVEPOTEL se dirigió a usuarios brasileños y los mensajes de spam estaban en portugués. El texto estaba diseñado para atraer a los destinatarios a descargar y abrir el archivo ZIP enviado. Estos archivos tenían títulos como «ORCAMENTO_114418.zip», «RES-20250930_112057.zip» y otros nombres que sugerían una asociación con documentos financieros o una relación con aplicaciones de salud. El archivo contenía un archivo LNK que, al ejecutarse, ponía en marcha la cadena de infección de SORVEPOTEL.
Otro tipo de malspam utilizado para distribuir SORVEPOTEL eran los correos electrónicos spam. Estos mensajes variaban en cuanto al asunto y el cuerpo de la carta. Los correos electrónicos tenían archivos ZIP adjuntos (que también contenían archivos LNK) y se han observado los siguientes nombres de archivo: «COMPROVANTE_20251001_094031.zip», «ComprovanteSantander-75319981.682657420.zip» y «NEW-20251001_133944-PED_1273E322.zip».
No es improbable que existan otros métodos de proliferación. El phishing y la ingeniería social son métodos habituales en la distribución de malware. El software malicioso suele disfrazarse o incluirse en archivos de programas o multimedia normales. Pueden ser archivos comprimidos (ZIP, RAR, etc.), ejecutables (EXE, RUN, etc.), documentos (Microsoft Office, Microsoft OneNote, PDF, etc.), JavaScript, etc. El simple hecho de abrir un archivo infectado puede ser suficiente para iniciar la descarga o instalación de malware.
Las técnicas de distribución de malware más frecuentes incluyen: archivos adjuntos o enlaces maliciosos en spam (por ejemplo, mensajes privados/directos, correos electrónicos, SMS, publicaciones en redes sociales/foros, etc.), troyanos (puertas traseras/cargadores), descargas drive-by (sigilosas/engañosas), publicidad maliciosa, estafas en línea, fuentes de descarga dudosas (por ejemplo, sitios web de software gratuito y de terceros , redes de intercambio peer-to-peer, etc.), contenido pirateado, herramientas de activación de software ilegal («cracks») y actualizaciones falsas.
Además, algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles (por ejemplo, discos duros externos, memorias USB, etc.).
¿Cómo evitar la instalación de malware?
Recomendamos encarecidamente tratar las comunicaciones entrantes con precaución. No se deben abrir los archivos adjuntos ni los enlaces que se encuentren en correos sospechosos o irrelevantes, ya que pueden ser virulentos. Aconsejamos estar atentos al navegar, ya que Internet está lleno de contenidos engañosos y maliciosos.
Otra recomendación es descargar solo de fuentes oficiales y verificadas. El software debe activarse y actualizarse utilizando funciones y herramientas genuinas, ya que las adquiridas de terceros pueden contener malware.
Debemos destacar la importancia de tener instalado un antivirus fiable y mantenerlo actualizado. Los programas de seguridad deben utilizarse para realizar análisis periódicos del sistema y eliminar las amenazas y los problemas detectados. Si cree que su ordenador ya está infectado, le recomendamos que realice un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente el malware infiltrado.
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
DESCARGAR Combo CleanerSi decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.
Menú rápido:
- ¿Qué es SORVEPOTEL?
- PASO 1. Eliminación manual del malware SORVEPOTEL.
- PASO 2. Compruebe si su ordenador está limpio.
¿Cómo eliminar el malware manualmente?
La eliminación manual del malware es una tarea complicada; por lo general, lo mejor es permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware, recomendamos utilizar Combo Cleaner Antivirus para Windows.
Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. A continuación se muestra un ejemplo de un programa sospechoso que se ejecuta en el ordenador de un usuario:
Si ha comprobado la lista de programas que se ejecutan en su ordenador, por ejemplo, utilizando el administrador de tareas, y ha identificado un programa que parece sospechoso, debe continuar con estos pasos:
Descargue un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:
Reinicie el equipo en modo seguro:
Usuarios de Windows XP y Windows 7: Inicie el equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y Aceptar. Durante el proceso de inicio del equipo, pulse varias veces la tecla F8 del teclado hasta que aparezca el menú Opciones avanzadas de Windows y, a continuación, seleccione Modo seguro con funciones de red en la lista.
Vídeo que muestra cómo iniciar Windows 7 en «Modo seguro con funciones de red»:
Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red. Vaya a la pantalla de inicio de Windows 8, escriba «Avanzado» y, en los resultados de la búsqueda, seleccione «Configuración». Haga clic en «Opciones de inicio avanzadas» y, en la ventana «Configuración general del PC» que se abre, seleccione «Inicio avanzado».
Haga clic en el botón «Reiniciar ahora». El equipo se reiniciará y aparecerá el «Menú de opciones de inicio avanzadas». Haga clic en el botón «Solucionar problemas» y, a continuación, en el botón «Opciones avanzadas». En la pantalla de opciones avanzadas, haga clic en «Configuración de inicio».
Haga clic en el botón «Reiniciar». El equipo se reiniciará y aparecerá la pantalla «Configuración de inicio». Pulse F5 para arrancar en modo seguro con funciones de red.
Vídeo que muestra cómo iniciar Windows 8 en «Modo seguro con funciones de red»:
Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de encendido. En el menú que se abre, haga clic en «Reiniciar» mientras mantiene pulsada la tecla «Mayús» del teclado. En la ventana «Elija una opción», haga clic en «Solucionar problemas» y, a continuación, seleccione «Opciones avanzadas».
En el menú de opciones avanzadas, seleccione «Configuración de inicio» y haga clic en el botón «Reiniciar». En la ventana siguiente, debe hacer clic en el botón «F5» del teclado. Esto reiniciará el sistema operativo en modo seguro con funciones de red.
Vídeo que muestra cómo iniciar Windows 10 en «modo seguro con funciones de red»:
Extraiga el archivo descargado y ejecute el archivo Autoruns.exe. p>
En la aplicación Autoruns, haga clic en «Opciones» en la parte superior y desmarque las opciones «Ocultar ubicaciones vacías» y «Ocultar entradas de Windows». Después de este procedimiento, haga clic en el icono «Actualizar».
Compruebe la lista proporcionada por la aplicación Autoruns y localice el archivo de malware que desea eliminar.
Debe anotar su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan los nombres de los procesos bajo nombres de procesos legítimos de Windows. En esta fase, es muy importante evitar eliminar archivos del sistema. Una vez localizado el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y seleccione «Eliminar».
Después de eliminar el malware a través de la aplicación Autoruns (esto garantiza que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su ordenador. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre del archivo del malware, asegúrese de eliminarlo.
Reinicie el equipo en modo normal. Si sigue estos pasos, debería eliminar cualquier malware de su equipo. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos avanzados de informática. Si no dispone de estos conocimientos, deje la eliminación de malware en manos de programas antivirus y antimalware.
Es posible que estos pasos no funcionen con infecciones de malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener su ordenador seguro, instale las últimas actualizaciones del sistema operativo y utilice un software antivirus. Para asegurarse de que su ordenador está libre de infecciones de malware, le recomendamos que lo analice con Combo Cleaner Antivirus para Windows.
Preguntas frecuentes (FAQ)
Mi ordenador está infectado con el malware SORVEPOTEL, ¿debo formatear mi dispositivo de almacenamiento para eliminarlo?
La eliminación de malware rara vez requiere formatear.
¿Cuáles son los mayores problemas que puede causar el malware SORVEPOTEL?
Los peligros asociados a una infección dependen de las capacidades del malware y del modus operandi de los atacantes. SORVEPOTEL es un malware que roba información y es capaz de propagarse por sí mismo a través de WhatsApp. Se ha utilizado para atacar datos relacionados con la banca. Las infecciones de este tipo están relacionadas con riesgos de graves problemas de privacidad, pérdidas económicas y robo de identidad.
¿Cuál es el objetivo del malware SORVEPOTEL?
El malware se utiliza principalmente con fines lucrativos. Sin embargo, los ataques también pueden estar motivados por el entretenimiento o rencores personales de los atacantes, la interrupción de procesos (por ejemplo, sitios web, servicios, empresas, etc.), el hacktivismo y motivaciones políticas o geopolíticas.
¿Cómo se infiltró el malware SORVEPOTEL en mi ordenador?
SORVEPOTEL se ha distribuido a través de correo electrónico y WhatsApp malspam. También puede propagarse por sí mismo a través de WhatsApp secuestrando cuentas en dispositivos infectados y enviando archivos maliciosos a todos los contactos/grupos.
Sin embargo, no es improbable que se utilicen otras técnicas de distribución. Aparte del correo basura, el malware se distribuye comúnmente a través de publicidad maliciosa, descargas no solicitadas, troyanos, estafas en línea, fuentes de descarga poco fiables (por ejemplo, sitios de software gratuito y alojamiento de archivos gratuitos, redes de intercambio P2P, etc.), software/medios pirateados, herramientas de activación ilegales («cracks») y actualizaciones falsas. Algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles.
¿Combo Cleaner me protegerá del malware?
Combo Cleaner puede detectar y eliminar la mayoría de las infecciones de malware conocidas. Tenga en cuenta que es esencial realizar un análisis completo del sistema, ya que los programas maliciosos de alta gama suelen ocultarse en lo más profundo de los sistemas.
Compartir:
Facebook
X.com
LinkedIn
Copiar enlace
Tomas Meskauskas
Investigador experto en seguridad, analista profesional de malware
Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet.
El portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
DonarEl portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
Donar
▼ Mostrar discusión