El actor de amenazas nombrado Saci de agua está evolucionando activamente sus tácticas, cambiando a una sofisticada cadena de infección de múltiples capas que utiliza archivos de aplicación HTML (HTA) y PDF para propagar un gusano que utiliza un troyano bancario para atacar a los usuarios en Brasil a través de WhatsApp.
La última ola se caracteriza por el cambio de los atacantes de PowerShell a una variante basada en Python que propaga el malware como un gusano a través de WhatsApp Web.
“Su nueva cadena de ataque multiformato y el posible uso de inteligencia artificial (IA) para convertir scripts de distribución de PowerShell a Python ilustran un enfoque de múltiples capas que ha permitido a Water Saci eludir los controles de seguridad tradicionales, explotar la confianza de los usuarios a través de múltiples canales y aumentar sus tasas de infección”, dijeron los investigadores de Trend Micro Jeffrey Francis Bonaobra, Sarah Pearl Camiling, Joe Soares, Byron Gelera, Ian Kenefick y Emmanuel Panopio.
En estos ataques, los usuarios reciben mensajes de contactos confiables en WhatsApp pidiéndoles que interactúen con archivos adjuntos PDF o HTA maliciosos, lo que activa la cadena de infección y, en última instancia, elimina un troyano bancario que puede recopilar datos confidenciales. El señuelo PDF indica a las víctimas que actualicen Adobe Reader haciendo clic en un enlace incrustado.
Se engaña a los usuarios que reciben archivos HTA para que ejecuten un script de Visual Basic inmediatamente después de abrirlo, que luego ejecuta comandos de PowerShell para recuperar las cargas útiles de la siguiente etapa desde un servidor remoto, un instalador MSI para el troyano y un script de Python responsable de propagar el malware a través de WhatsApp Web.
“Esta variante recientemente observada permite una compatibilidad más amplia del navegador, una estructura de código orientada a objetos, un mejor manejo de errores y una automatización más rápida de la entrega de malware a través de WhatsApp Web”, dijo Trend Micro. “En conjunto, estos cambios hacen que la propagación sea más rápida, más resistente y más fácil de mantener o expandir”.
El instalador MSI, a su vez, sirve como canal para distribuir el troyano bancario mediante un script AutoIt. El script también ejecuta comprobaciones para garantizar que solo se esté ejecutando una instancia del troyano en un momento dado. Esto se logra verificando la existencia de un archivo marcador llamado “ejecutado.dat”. Si no existe, el script crea el archivo y notifica a un servidor controlado por el atacante (“manoelimoveiscaioba(.)com”).
También se han encontrado otros artefactos de AutoIt descubiertos por Trend Micro que verifican si el idioma del sistema Windows está configurado en portugués (Brasil) y solo escanean el sistema infectado en busca de actividad bancaria si se cumple este criterio. Esto incluye la búsqueda de carpetas relacionadas con las principales aplicaciones bancarias brasileñas, módulos de seguridad y antifraude como Bradesco, Varsovia, Topaz OFD, Sicoob e Itaú.
Vale la pena señalar que los troyanos bancarios centrados en América Latina (LATAM), como Casbaneiro (también conocido como Metamorfo y Ponteiro), integraron características similares en 2019. Además, el script analiza el historial de navegación de Google Chrome del usuario para buscar visitas a sitios web bancarios, específicamente una lista codificada que contiene Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi y Bradesco.
Luego, el script pasa a otro paso de reconocimiento importante: busca software antivirus y de seguridad instalado y recopila metadatos detallados del sistema. La función principal del malware es monitorear las ventanas abiertas y extraer sus títulos para compararlas con una lista de bancos, plataformas de pago, intercambios y billeteras de criptomonedas.
Si alguna de estas ventanas contiene palabras clave relacionadas con entidades objetivo, el script busca un archivo TDA eliminado por el instalador, lo descifra y lo inserta en un proceso hueco “svchost.exe”, después de lo cual el cargador busca un archivo DMP adicional que contiene el troyano bancario.
“Si hay un archivo TDA, el script AutoIt lo descifra y lo carga en la memoria como un cargador PE intermedio (etapa 2)”, explica Trend Micro. “Sin embargo, si solo se encuentra un archivo DMP (no hay TDA presente), el script AutoIt omite por completo el cargador intermedio y carga el troyano bancario directamente en la memoria del proceso AutoIt, omitiendo el paso de vaciado del proceso y ejecutándose como una infección más simple de dos etapas”.
La persistencia se logra vigilando constantemente el proceso svchost.exe recién iniciado. Si el proceso finaliza, el malware se reinicia y espera para reinyectar la carga útil la próxima vez que la víctima abra una ventana del navegador para un servicio financiero objetivo de Water Saci.
Los ataques se caracterizan por un importante cambio táctico. El troyano bancario utilizado no es Maverick, sino un malware que tiene continuidad estructural y comportamental con Casbaneiro. Esta evaluación se basa en el mecanismo de carga e implementación basado en AutoIt utilizado, así como en la supervisión del título de la ventana, la persistencia basada en el registro y el mecanismo de comando y control alternativo (C2) basado en IMAP.
Una vez iniciado, el troyano realiza comprobaciones antivirtualización “agresivas” para evadir el análisis y la detección y recopila información del host a través de consultas del Instrumental de administración de Windows (WMI). Realiza cambios en el registro para establecer la persistencia y se pone en contacto con un servidor C2 (“serverseistemasatu(.)com”) para enviar los detalles recopilados y recibir comandos de puerta trasera que permiten el control remoto sobre el sistema infectado.
Además de escanear los títulos de las ventanas activas para determinar si el usuario está interactuando con plataformas bancarias o de criptomonedas, el troyano también cierra varios navegadores para obligar a las víctimas a reabrir páginas bancarias bajo “condiciones controladas por el atacante”. Algunas de las funciones admitidas por el troyano se enumeran a continuación:
- Enviar información del sistema
- Habilitar captura de teclado
- Iniciar/detener grabación de pantalla
- Cambiar resolución de pantalla
- Simular movimientos y clics del mouse.
- Realizar operaciones de archivos
- Cargar/descargar archivos
- Enumerar ventanas y
- Cree superposiciones bancarias falsas para capturar credenciales y datos de transacciones
El segundo aspecto de la campaña es el uso de un script Python, una versión avanzada de su predecesor PowerShell, para permitir la entrega de malware a cualquier contacto a través de sesiones web de WhatsApp utilizando la herramienta de automatización del navegador Selenium.
Dadas las similitudes funcionales entre las dos versiones y la inclusión de emojis en la salida de la consola, existe evidencia “convincente” de que Water Saci puede haber utilizado un modelo de lenguaje grande (LLM) o una herramienta de traducción de código para trasladar su script de distribución de PowerShell a Python.
“La campaña Water Saci es un ejemplo de una nueva era de amenazas cibernéticas en Brasil, en la que los atacantes están explotando la confianza y el alcance de plataformas de mensajería populares como WhatsApp para orquestar campañas de malware autopropagables a gran escala”, afirmó Trend Micro.
“Al convertir en armas canales de comunicación confiables y utilizar ingeniería social avanzada, los actores de amenazas pueden comprometer rápidamente a las víctimas, eludir las defensas tradicionales y sostener infecciones persistentes de troyanos bancarios. Esta campaña demuestra cómo las plataformas legítimas pueden transformarse en poderosos vectores para la distribución de malware y destaca la creciente sofisticación de las operaciones cibercriminales en la región”.
Brasil, blanco del nuevo malware RelayNFC para Android
El desarrollo se produce cuando los usuarios de bancos brasileños también están siendo atacados por un malware de Android previamente no documentado llamado RelayNFC, que está diseñado para llevar a cabo ataques de retransmisión a través de comunicación de campo cercano (NFC) y recopilar datos de pagos sin contacto. La campaña ha estado en marcha desde principios de noviembre de 2025.
“RelayNFC implementa un canal de retransmisión APDU en tiempo real, lo que permite a los atacantes completar transacciones como si la tarjeta de la víctima estuviera físicamente presente”, dijo Cyble en un análisis. “El malware se crea utilizando el código de bytes React Native y Hermes, lo que complica el análisis estático y ayuda a evadir la detección”.
El ataque se propaga principalmente a través de phishing y utiliza sitios web fraudulentos en portugués (por ejemplo, “sitio maisseguraca(.)”) para engañar a los usuarios para que instalen el malware con el pretexto de proteger sus tarjetas de pago. El objetivo final de la campaña es capturar los datos de la tarjeta de la víctima y pasárselos a los atacantes, quienes luego pueden realizar transacciones fraudulentas utilizando los datos robados.
Al igual que otras familias de malware de retransmisión NFC, como SuperCard, una vez leídos los datos de la tarjeta, el malware muestra un mensaje pidiéndoles que introduzcan su PIN de 4 o 6 dígitos. Luego, la información capturada se envía al servidor del atacante a través de una conexión WebSocket.
“Cuando el atacante inicia una transacción desde su dispositivo emulador de POS, el servidor C&C envía un mensaje especialmente diseñado del tipo 'apdu' al teléfono infectado”, dijo Cyble. “Este mensaje contiene una ID de solicitud única, un identificador de sesión y el comando APDU codificado como una cadena hexadecimal”.
“Al recibir esta instrucción, RelayNFC analiza el paquete, extrae los datos de la APDU y los reenvía directamente al subsistema NFC del dispositivo víctima, actuando efectivamente como una interfaz remota para la tarjeta de pago física”.
La firma de ciberseguridad dijo que su investigación también descubrió un sitio de phishing separado (“test.ikotech(.)online”) que distribuye un archivo APK con una implementación parcial de Host Card Emulation (HCE), lo que sugiere que los actores de amenazas están experimentando con varias técnicas de retransmisión NFC.
Debido a que HCE permite que un dispositivo Android emule una tarjeta de pago, el mecanismo permite que las interacciones con la tarjeta de la víctima se transmitan entre una terminal de pago de venta (PoS) legítima y un dispositivo controlado por el atacante, lo que facilita un ataque de retransmisión NFC en tiempo real. Se supone que la característica está en desarrollo porque el archivo APK no registra el servicio HCE en el archivo de manifiesto del paquete.
“La campaña RelayNFC destaca el rápido desarrollo del malware de retransmisión NFC dirigido a sistemas de pago, particularmente en Brasil”, dijo la compañía. “Al combinar la distribución impulsada por phishing, la ofuscación basada en React Native y el reenvío de APDU en tiempo real a través de WebSockets, los actores de amenazas han creado un mecanismo altamente efectivo para el fraude remoto de transacciones EMV”.
About The Author
