Se estima que la actividad ha estado en curso durante al menos nueve meses
Investigadores de ciberseguridad descubrieron una campaña coordinada que utilizó 131 clones renombrados de una extensión de automatización web de WhatsApp para Google Chrome para enviar spam a usuarios brasileños a gran escala.
Las 131 extensiones de spamware comparten el mismo código base, patrones de diseño e infraestructura, según la empresa de seguridad de la cadena de suministro Socket. En conjunto, los complementos del navegador cuentan con unos 20.905 usuarios activos.
"No se trata de malware clásico, sino de una automatización de spam de alto riesgo que vulnera las normas de la plataforma", afirmó el investigador de seguridad Kirill Boychenko. "El código se inyecta directamente en la página web de WhatsApp, se ejecuta junto con los scripts de la propia WhatsApp y automatiza la difusión masiva y la programación de mensajes para eludir la aplicación antispam de WhatsApp".
El objetivo final de la campaña es enviar mensajes salientes a través de WhatsApp de una manera que evite los límites de velocidad de la plataforma de mensajería y los controles antispam.
Se estima que la actividad ha estado en curso durante al menos nueve meses, y se observaron nuevas cargas y actualizaciones de versiones de las extensiones tan recientemente como el 17 de octubre de 2025. Algunas de las extensiones identificadas se enumeran a continuación:
• YouSeller (10.000 usuarios)
• performancemais (239 usuarios)
• Botflow (38 usuarios)
• ZapVende (32 usuarios)
Se ha descubierto que las extensiones adoptan diferentes nombres y logotipos, pero, detrás de escena, la gran mayoría de ellas han sido publicadas por "WL Extensão" y su variante "WLExtensao". Se cree que las diferencias en la marca son el resultado de un modelo de franquicia que permite a los afiliados de la operación inundar la Chrome Web Store con varios clones de la extensión original ofrecida por una compañía llamada DBX Tecnologia.
Estos complementos también pretenden hacerse pasar por herramientas de gestión de relaciones con los clientes (CRM) para WhatsApp, permitiendo a los usuarios maximizar sus ventas a través de la versión web de la aplicación.
"Convierte tu WhatsApp en una potente herramienta de ventas y gestión de contactos. Con Zap Vende, tendrás un CRM intuitivo, automatización de mensajes, mensajería masiva, un embudo de ventas visual y mucho más", se lee en la descripción de ZapVende en Chrome Web Store. "Organiza tu atención al cliente, haz seguimiento de clientes potenciales y programa mensajes de forma práctica y eficiente".
DBX Tecnologia, a través de Socket, anuncia un programa de revendedor de marca blanca que permite a los socios potenciales cambiar la marca y vender su extensión WhatsApp Web bajo su propia marca, prometiendo ingresos recurrentes en el rango de R$ 30.000 a R$ 84.000 con una inversión de R$ 12.000.
Cabe destacar que esta práctica infringe la política de spam y abuso de la Chrome Web Store de Google, que prohíbe a los desarrolladores y sus afiliados enviar múltiples extensiones que ofrezcan funcionalidad duplicada en la plataforma. También se ha descubierto que DBX Tecnologia ha publicado vídeos en YouTube sobre cómo eludir los algoritmos antispam de WhatsApp al usar las extensiones.
"El clúster consta de copias casi idénticas distribuidas entre las cuentas de los editores, se comercializa para envíos masivos no solicitados y automatiza el envío de mensajes dentro de web.whatsapp.com sin la confirmación del usuario", señaló Boychenko. "El objetivo es mantener activas las campañas masivas mientras se evaden los sistemas antispam".
La revelación llega mientras Trend Micro, Sophos y Kaspersky arrojan luz sobre una campaña a gran escala que apunta a usuarios brasileños con un gusano de WhatsApp llamado SORVEPOTEL que se utiliza para distribuir un troyano bancario con nombre en código Maverick.
