Investigadores de ciberseguridad descubrieron una campaña coordinada que aprovechó 131 clones renombrados de la extensión de automatización web de WhatsApp para Google Chrome para enviar spam a escala a usuarios de Brasil.
Según la empresa de seguridad de la cadena de suministro Socket, 131 extensiones de spam comparten la misma base de código, patrones de diseño e infraestructura. El complemento del navegador tiene aproximadamente 20.905 usuarios activos en total.
«No se trata de malware clásico, sino que actúan como automatizaciones de spam de alto riesgo que explotan las reglas de la plataforma», afirma el investigador de seguridad Kirill Boychenko. «Este código se inyecta directamente en las páginas web de WhatsApp y se ejecuta junto con los propios scripts de WhatsApp para automatizar la programación y la divulgación masiva de una manera destinada a eludir la aplicación de medidas antispam de WhatsApp».
El objetivo final de esta campaña es inundar los mensajes salientes a través de WhatsApp de una manera que eluda los límites de velocidad y los controles antispam de la plataforma de mensajería.
Se estima que esta actividad ha estado en curso durante al menos nueve meses, con nuevas cargas y actualizaciones de versión de la extensión observadas recientemente el 17 de octubre de 2025. Algunas de las extensiones identificadas se enumeran a continuación.
YouSeller (10.000 usuarios) Performancemais (239 usuarios) Botflow (38 usuarios) ZapVende (32 usuarios)
Se sabe que las extensiones tienen varios nombres y logotipos, pero la mayoría son publicadas entre bastidores por WL Extensão y su variante WLExtensão. Se cree que la diferencia en la marca es el resultado de un modelo de franquicia que permite a los afiliados operativos inundar Chrome Web Store con varios clones de la extensión original proporcionada por una empresa llamada DBX Tecnologia.
Estos complementos pretenden ser las herramientas de gestión de relaciones con los clientes (CRM) de WhatsApp y pretenden ayudar a los usuarios a maximizar las ventas a través de la versión web de la aplicación.
La descripción de ZapVende en Chrome Web Store dice: «Convierta WhatsApp en una poderosa herramienta de administración de contactos y ventas. Zap Vende le brinda un CRM intuitivo, automatización de mensajes, mensajería masiva, embudos de ventas visuales y más». «Organizar la atención al cliente, realizar un seguimiento de los clientes potenciales y programar mensajes de forma práctica y eficiente».
Según Socket, DBX Tecnologia está promoviendo un programa de revendedor de marca blanca que permite a los posibles socios cambiar el nombre de las extensiones web de WhatsApp y venderlas bajo su propia marca, prometiendo ingresos recurrentes que oscilan entre R$ 30.000 y R$ 84.000 por una inversión de R$ 12.000.
Cabe señalar que este comportamiento viola la política de abuso y spam de Chrome Web Store de Google, que prohíbe a los desarrolladores y sus afiliados enviar múltiples extensiones que brinden funciones superpuestas en la plataforma. También se descubrió que DBX Tecnologia publicaba vídeos en YouTube sobre cómo eludir el algoritmo antispam de WhatsApp al utilizar extensiones.
«Este grupo consta de copias casi idénticas distribuidas entre cuentas de editores y se comercializa para un alcance masivo no solicitado, automatizando el envío de mensajes dentro de web.whatsapp.com sin verificación del usuario», señaló Boychenko. «El objetivo es seguir ejecutando campañas de gran volumen y al mismo tiempo evadir los sistemas antispam».
La divulgación se produce cuando Trend Micro, Sophos y Kaspersky revelaron una campaña a gran escala dirigida a usuarios en Brasil utilizando un gusano de WhatsApp llamado ‘SORVEPOTEL’ utilizado para distribuir un troyano bancario con nombre en código ‘Maverick’.
Source link
