El actor de amenazas conocido como Water Saci está evolucionando activamente sus tácticas, cambiando a una cadena de infección sofisticada y con muchas capas que utiliza archivos de aplicaciones HTML (HTA) y PDF para propagar un gusano que implementa troyanos bancarios a través de WhatsApp en ataques dirigidos a usuarios en Brasil.
La última ola se caracteriza por atacantes que pasan de PowerShell a variantes basadas en Python para propagar malware en WhatsApp Web en forma de gusano.
Los investigadores de Trend Micro Jeffrey Francis Bonabra, Sarah Pearl Camiling, Joe Soares, Byron Guerrera, Ian Kenefick y Emmanuel Panopio dijeron: «Su nueva cadena de ataque multiformato y el uso potencial de inteligencia artificial (IA) para convertir scripts de propagación de PowerShell a Python es una poderosa herramienta para Water». «Este es un ejemplo del enfoque de múltiples capas que permitió a Saci eludir los controles de seguridad tradicionales, explotar la confianza del usuario a través de múltiples canales y aumentar las tasas de infección».
En estos ataques, los usuarios reciben un mensaje de un contacto confiable en WhatsApp, que les solicita manipular un archivo adjunto PDF o HTA malicioso para activar una cadena de infección y, en última instancia, eliminar un troyano bancario que puede recopilar datos confidenciales. El señuelo PDF indica a las víctimas que actualicen Adobe Reader haciendo clic en un enlace incrustado.
Al abrir el archivo HTA, se engaña al usuario para que ejecute un script de Visual Basic, que luego ejecuta un comando de PowerShell para recuperar la carga útil de la siguiente etapa del servidor remoto, el instalador del troyano MSI y un script de Python que es responsable de propagar el malware a través de WhatsApp Web.
«Esta variante recientemente identificada permite una compatibilidad más amplia del navegador, una estructura de código orientada a objetos, un mejor manejo de errores y una automatización más rápida de la entrega de malware a través de WhatsApp Web», dijo Trend Micro. «Estos cambios permiten una propagación más rápida, una mayor resistencia a las fallas y un mantenimiento y expansión más sencillos».
El instalador MSI sirve como conducto para distribuir troyanos bancarios mediante scripts AutoIt. El script también realiza comprobaciones para garantizar que solo se esté ejecutando una instancia del troyano en un momento dado. Esto se logra verificando la existencia de un archivo marcador llamado «ejecutado.dat». Si el archivo no existe, el script lo crea y notifica a un servidor controlado por el atacante (‘manoelimoveiscaioba(.)com’).
Otros artefactos de AutoIt descubiertos por Trend Micro también van más allá al verificar si el idioma del sistema Windows está configurado en portugués (Brasil) y solo escanear sistemas infectados en busca de actividad bancaria si se cumple esta condición. Esto incluye la consulta de carpetas relacionadas con las principales aplicaciones bancarias brasileñas, como Bradesco, Varsovia, Topaz OFD, Sicoob, Itaú, además de módulos de seguridad y antifraude.
Vale la pena señalar que los troyanos bancarios enfocados en América Latina (LATAM) como Casbaneiro (también conocido como Metamorfo y Ponteiro) han incorporado una funcionalidad similar desde 2019. Además, el script analiza el historial de navegación de Google Chrome del usuario para buscar visitas a sitios web bancarios. Específicamente, se trata de una lista codificada compuesta por Santander, Banco do Brasil, Federación Caixa Econômica, Sicredi y Bradesco.
Luego, el script continúa con otro paso de reconocimiento importante, que incluye verificar si hay software antivirus y de seguridad instalado y recopilar metadatos detallados del sistema. La función principal de este malware es monitorear las ventanas abiertas, extraer sus títulos y compararlos con una lista de bancos, plataformas de pago, intercambios y billeteras criptográficas.
Si una de estas ventanas contiene una palabra clave relacionada con la entidad de interés, el script busca el archivo TDA arrojado por el instalador, lo descifra y lo inyecta en el proceso hueco «svchost.exe». A continuación, el cargador busca archivos DMP adicionales que contengan el troyano bancario.
«Si el archivo TDA está presente, el script AutoIt lo descifra y lo carga en la memoria como un cargador PE intermedio (etapa 2)», explicó Trend Micro. «Sin embargo, si sólo se encuentra un archivo DMP (y no hay TDA presente), el script AutoIt omite por completo el cargador intermedio y carga el troyano bancario directamente en la memoria del proceso AutoIt, omitiendo el paso de vaciado del proceso y ejecutándolo como una infección más simple de dos etapas».
La persistencia se logra monitoreando constantemente los procesos «svchost.exe» recién generados. Una vez finalizado el proceso, el malware se inicia de nuevo y espera para reinyectar su carga útil la próxima vez que la víctima abra una ventana del navegador de un servicio financiero dirigido a Water Saci.
El ataque pone de relieve un cambio importante en las tácticas. El troyano bancario implementado no es Maverick, sino un malware que muestra continuidad estructural y operativa con Casbaneiro. Esta evaluación se basa en los mecanismos de carga y entrega basados en AutoIt empleados, así como en el monitoreo de títulos de ventanas, la persistencia basada en el registro y los mecanismos de comando y control (C2) alternativos basados en IMAP.
Una vez iniciado, el troyano realiza controles antivirtualización «agresivos» para evadir el análisis y la detección, y recopila información del host a través de consultas del Instrumental de administración de Windows (WMI). Modifica el registro para establecer la persistencia y establece una conexión con un servidor C2 (‘serversistemasatu(.)com’) para enviar los detalles recopilados y recibir comandos de puerta trasera que permiten el control remoto del sistema infectado.
El troyano escanea el título de las ventanas activas para determinar si un usuario está interactuando con una plataforma bancaria o de criptomonedas, además de cerrar por la fuerza varios navegadores y obligar a las víctimas a reabrir sitios bancarios bajo «condiciones controladas por el atacante». Algunas de las funciones compatibles con este troyano se enumeran a continuación.
Enviar información del sistema Habilitar captura de teclado Iniciar/detener captura de pantalla Cambiar resolución de pantalla Simular movimientos y clics del mouse Realizar operaciones de archivos Cargar/descargar archivos Enumerar ventanas y crear superposiciones bancarias falsas para capturar credenciales y datos de transacciones
El segundo aspecto de esta campaña utiliza un script Python, una versión mejorada del modelo predecesor de PowerShell, para permitir la entrega de malware a todos los contactos a través de una sesión web de WhatsApp utilizando la herramienta de automatización del navegador Selenium.
Dadas las similitudes funcionales entre las dos versiones y la inclusión de emojis en la salida de la consola, existe evidencia «convincente» que sugiere que Water Saci puede haber utilizado modelos de lenguaje a gran escala (LLM) o herramientas de traducción de código para trasladar los scripts de propagación de PowerShell a Python.
«La campaña Water Saci ejemplifica una nueva era de ciberamenazas en Brasil, donde los atacantes explotan la credibilidad y el alcance de plataformas de mensajería populares como WhatsApp para orquestar campañas de malware autopropagante a gran escala», dijo Trend Micro.
«Al convertir en armas los canales de comunicación familiares y emplear ingeniería social sofisticada, los atacantes pueden comprometer rápidamente a las víctimas, evadir las defensas tradicionales y mantener infecciones persistentes de troyanos bancarios. Esta campaña demuestra cómo las plataformas legítimas pueden transformarse en poderosos vectores para la distribución de malware y resalta la sofisticación de la actividad cibercriminal en la región».
Brasil, blanco del nuevo malware RelayNFC para Android
El desarrollo se produce cuando los usuarios de bancos brasileños también están siendo atacados por un malware de Android previamente no documentado llamado RelayNFC, diseñado para realizar ataques de retransmisión de comunicación de campo cercano (NFC) y desviar datos de pagos sin contacto. Esta campaña ha estado en marcha desde principios de noviembre de 2025.
«RelayNFC implementa un canal de retransmisión APDU totalmente en tiempo real que permite a los atacantes completar transacciones como si la tarjeta de la víctima estuviera físicamente presente», dijo Cyble en su análisis. «Este malware se crea utilizando el código de bytes React Native y Herme, lo que complica el análisis estático y ayuda a evadir la detección».
El ataque se propaga principalmente a través de phishing, utilizando sitios señuelo en idioma portugués (como «maisseguraca(.)site») para engañar a los usuarios para que instalen malware con el pretexto de proteger sus tarjetas de pago. El objetivo final de esta campaña es obtener los datos de la tarjeta de la víctima y transmitirlos al atacante, quien luego puede utilizar los datos robados para realizar transacciones fraudulentas.
Al igual que otras familias de malware de retransmisión NFC, como SuperCard X y PhantomCard, RelayNFC actúa como un lector diseñado para recopilar datos de tarjetas indicando a las víctimas que toque una tarjeta de pago en su dispositivo. Una vez que se leen los datos de la tarjeta, el malware le solicitará un PIN de 4 o 6 dígitos. La información capturada se envía al servidor del atacante a través de una conexión WebSocket.
«Cuando un atacante inicia una transacción desde un dispositivo emulador de POS, el servidor C&C envía un mensaje especialmente diseñado del tipo ‘apdu’ al teléfono infectado», dijo Cyble. «Este mensaje contiene un ID de solicitud único, un ID de sesión y un comando APDU codificado como una cadena hexadecimal».
«Al recibir esta instrucción, RelayNFC analiza el paquete, extrae los datos de la APDU y los reenvía directamente al subsistema NFC del dispositivo víctima, actuando efectivamente como una interfaz remota para la tarjeta de pago física».
La firma de ciberseguridad dijo que su investigación también descubrió otro sitio de phishing (‘test.ikotech(.)online’) que distribuye archivos APK con implementación parcial de Host Card Emulation (HCE), lo que indica que los atacantes están experimentando con varias tecnologías de retransmisión NFC.
Debido a que HCE permite que los dispositivos Android emulen tarjetas de pago, este mecanismo permite que las interacciones con la tarjeta de la víctima se transmitan entre una terminal de pago de venta (PoS) legítima y un dispositivo controlado por un atacante, facilitando así los ataques de retransmisión NFC en tiempo real. Esta característica se considera en desarrollo porque el archivo APK no registra el servicio HCE en el archivo de manifiesto del paquete.
«La campaña RelayNFC destaca la rápida evolución del malware de retransmisión NFC dirigido específicamente a los sistemas de pago en Brasil», dijo la compañía. «Al combinar la distribución impulsada por phishing, la ofuscación basada en React Native y la retransmisión de APDU en tiempo real a través de WebSockets, los atacantes han creado un mecanismo altamente eficaz para el fraude remoto de transacciones EMV».
Source link
