El actor de amenazas conocido como Saci de agua está evolucionando activamente sus tácticas y optando por una cadena de infección sofisticada y con muchos niveles que utiliza archivos de aplicaciones HTML (HTA) y archivos PDF para propagar a través de WhatsApp un gusano que utiliza un troyano bancario en los ataques dirigidos a usuarios en Brasil.
La última ola se caracteriza por el cambio de los atacantes de PowerShell a una variante basada en Python que propaga el malware de forma similar a un gusano a través de WhatsApp Web.
«Su nueva cadena de ataques multiformato y el posible uso de inteligencia artificial (IA) para convertir scripts de propagación de PowerShell a Python ejemplifican un enfoque por capas que ha permitido a Water Saci eludir los controles de seguridad convencionales, aprovechar la confianza de los usuarios en varios canales y aumentar sus tasas de infección», dijeron los investigadores de Trend Micro Jeffrey Francis Bonaobra, Sarah Pearl Camiling, Joe Soares, Byron Gelera, Ian Kenefick y Emmanuel Panopio, investigadores de Trend Micro dijo .
En estos ataques, los usuarios reciben mensajes de contactos de confianza en WhatsApp en los que se les insta a interactuar con archivos PDF o HTA maliciosos, activar la cadena de infección y, en última instancia, eliminar un troyano bancario que puede recopilar datos confidenciales. El señuelo en formato PDF indica a las víctimas que deben actualizar Adobe Reader haciendo clic en un enlace incorporado.
Los usuarios que reciben archivos HTA son engañados para que ejecuten un script de Visual Basic inmediatamente después de abrirlos, que luego ejecuta comandos de PowerShell para obtener las cargas útiles de la siguiente etapa desde un servidor remoto, un instalador MSI para el troyano y un script de Python responsable de propagar el malware a través de WhatsApp Web.
«Esta variante recientemente observada permite una mayor compatibilidad con los navegadores, una estructura de código orientada a objetos, una mejor gestión de errores y una automatización más rápida de la entrega de malware a través de WhatsApp Web», afirma Trend Micro. «En conjunto, estos cambios hacen que la propagación sea más rápida, más resistente a los fallos y más fácil de mantener o extender».
El instalador de MSI, por su parte, sirve como conducto para entregar el troyano bancario mediante un script de AutoIt. El script también realiza comprobaciones para garantizar que solo se esté ejecutando una instancia del troyano en un momento dado. Para ello, verifica la presencia de un archivo de marcadores denominado «executed.dat». Si no existe, el script crea el archivo y lo notifica a un servidor controlado por un atacante («manoelimoveiscaioba [.] com»).
También se han descubierto otros artefactos de AutoIt descubiertos por Trend Micro para comprobar si el idioma del sistema de Windows está configurado en portugués (Brasil), procediendo a analizar el sistema infectado para detectar actividades relacionadas con la banca solo si se cumplen estos criterios. Esto incluye comprobar si hay carpetas relacionadas con las principales aplicaciones bancarias y módulos de seguridad y antifraude de Brasil, como Bradesco, Varsovia, Topaz OFD, Sicoob e Itaú.
Vale la pena señalar que los troyanos bancarios centrados en América Latina (LATAM), como Casbaneiro (también conocidos como Metamorfo y Ponteiro) tienen incorporaron características similares ya en 2019. Además, el script analiza el historial de navegación del usuario en Google Chrome para buscar visitas a sitios web bancarios, específicamente una lista codificada que incluye a Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi y Bradesco.
Luego, el script pasa a otro paso crítico de reconocimiento que implica comprobar el software antivirus y de seguridad instalado, así como recopilar metadatos detallados del sistema. La principal funcionalidad del malware consiste en supervisar las ventanas abiertas y extraer los títulos de las ventanas para compararlas con una lista de bancos, plataformas de pago, bolsas y carteras de criptomonedas.
Si alguna de estas ventanas contiene palabras clave relacionadas con las entidades objetivo, el script busca un archivo TDA eliminado por el instalador y lo descifra e inyecta en un proceso vacío "svchost.exe", tras lo cual el cargador busca un archivo DMP adicional que contenga el troyano bancario.
«Si hay un archivo TDA, el script de AutoIt lo descifra y lo carga como un cargador PE intermedio (fase 2) en la memoria», explica Trend Micro. «Sin embargo, si solo se encuentra un archivo DMP (no hay ningún TDA), el script de AutoIt pasa por alto por completo el cargador intermedio y carga el troyano bancario directamente en la memoria de procesos de AutoIt, omitiendo el paso de vaciado del proceso y ejecutándose como una infección más sencilla en dos etapas».
La persistencia se logra controlando constantemente el proceso "svchost.exe" recién generado. Si se termina el proceso, el malware vuelve a empezar y espera a que la víctima vuelva a inyectar la carga útil la próxima vez que la víctima abra una ventana del navegador de un servicio financiero que sea el objetivo de Water Saci.
Los ataques destacan por un importante cambio táctico. El troyano bancario desplegado no es Maverick, sino un malware que presenta una continuidad estructural y de comportamiento con Casbaneiro. Esta evaluación se basa en el mecanismo de entrega y carga empleado en AutoIT, así como en el mecanismo de control y control (C2) alternativo de supervisión de los títulos de las ventanas, la persistencia basada en el registro y el mecanismo alternativo de comando y control (C2) basado en IMAP.
Una vez lanzado, el troyano lleva a cabo comprobaciones «agresivas» contra la virtualización para eludir el análisis y la detección, y recopila información sobre el host a través de la instrumentación de administración de Windows ( WMI ) consultas. Realiza modificaciones en el registro para configurar la persistencia y establece contacto con un servidor C2 («serverseistemasatu [.] com») para enviar la información recopilada y recibir comandos de puerta trasera que permiten controlar remotamente el sistema infectado.
Además de escanear los títulos de las ventanas activas para identificar si el usuario está interactuando con plataformas bancarias o de criptomonedas, el troyano cierra por la fuerza varios navegadores para obligar a las víctimas a reabrir los sitios bancarios en «condiciones controladas por un atacante». Algunas de las funciones compatibles con el troyano se enumeran a continuación:
- Enviar información del sistema
- Habilitar la captura del teclado
- Iniciar/detener la captura de pantalla
- Modificar la resolución de la pantalla
- Simula los movimientos y clics del ratón
- Realizar operaciones con archivos
- Cargar/descargar archivos
- Enumerar ventanas y
- Cree superposiciones bancarias falsas para capturar credenciales y datos de transacciones
El segundo aspecto de la campaña es el uso de un script de Python, una versión mejorada de su predecesor PowerShell, para permitir la entrega de malware a todos los contactos a través de las sesiones web de WhatsApp utilizando la herramienta de automatización del navegador Selenium.
Hay pruebas «convincentes» que sugieren que Water Saci pudo haber utilizado un modelo de lenguaje grande (LLM) o una herramienta de traducción de código para trasladar su script de propagación de PowerShell a Python, dadas las similitudes funcionales entre las dos versiones y la inclusión de emojis en las salidas de la consola.
«La campaña Water Saci ejemplifica una nueva era de ciberamenazas en Brasil, donde los atacantes explotan la confianza y el alcance de las plataformas de mensajería populares como WhatsApp para organizar campañas de malware a gran escala que se autopropagan», afirma Trend Micro.
«Al convertir en armas los canales de comunicación conocidos y emplear ingeniería social avanzada, los actores de amenazas pueden comprometer rápidamente a las víctimas, eludir las defensas tradicionales y mantener las infecciones persistentes de troyanos bancarios. Esta campaña demuestra cómo las plataformas legítimas pueden transformarse en potentes vectores de distribución de malware y pone de relieve la creciente sofisticación de las operaciones de los ciberdelincuentes en la región».
Brasil es blanco del nuevo malware RelayNFC para Android
La noticia se produce cuando los usuarios de la banca brasileña también están siendo atacados por un malware para Android previamente indocumentado denominado RelayNFC, que está diseñado para llevar a cabo comunicaciones de campo cercano ( NFC ) retransmiten ataques y extraen datos de pagos sin contacto. La campaña se lleva a cabo desde principios de noviembre de 2025.
«RelayNFC implementa un canal de retransmisión APDU completo en tiempo real, lo que permite a los atacantes completar las transacciones como si la tarjeta de la víctima estuviera físicamente presente», dijo Cyble dijo en un análisis. «El malware se crea con React Native y el código de bytes de Hermes, lo que complica el análisis estático y ayuda a evitar la detección».
El ataque, que se propaga principalmente mediante suplantación de identidad, utiliza sitios señuelos en portugués (por ejemplo, «sitio maisseguraca [.]») para engañar a los usuarios para que instalen el malware con el pretexto de proteger sus tarjetas de pago. El objetivo final de la campaña es capturar los datos de la tarjeta de la víctima y transmitirlos a los atacantes, quienes luego pueden realizar transacciones fraudulentas con los datos robados.
Al igual que otras familias de malware de retransmisión NFC, como SuperCard X y Tarjeta Phantom , RelayNFC funciona como un lector diseñado para recopilar los datos de la tarjeta al indicar a la víctima que toque su tarjeta de pago en el dispositivo. Una vez leídos los datos de la tarjeta, el malware muestra un mensaje en el que se le pide que introduzca su PIN de 4 o 6 dígitos. La información capturada se envía luego al servidor del atacante a través de una conexión WebSocket.
«Cuando el atacante inicia una transacción desde su dispositivo emulador de punto de venta, el servidor de C&C envía un mensaje especialmente diseñado de tipo 'apdu' al teléfono infectado», dijo Cyble. «Este mensaje contiene un identificador de solicitud único, un identificador de sesión y el comando APDU codificado en forma de cadena hexadecimal».
«Al recibir esta instrucción, RelayNFC analiza el paquete, extrae los datos de la APDU y los reenvía directamente al subsistema NFC del dispositivo víctima, actuando de manera efectiva como una interfaz remota para la tarjeta de pago física».
La empresa de ciberseguridad dijo que su investigación también descubrió un sitio de suplantación de identidad independiente («test.ikotech [.] online») que distribuye un archivo APK con una implementación parcial de Host Card Emulation (HCE), lo que indica que los actores de la amenaza están experimentando con diferentes técnicas de retransmisión de NFC.
Dado que el HCE permite que un dispositivo Android emule una tarjeta de pago, el mecanismo permite que las interacciones de la tarjeta de la víctima se transmitan entre un terminal de pago de venta (PoS) legítimo y un dispositivo controlado por un atacante, lo que facilita un ataque de retransmisión NFC en tiempo real. Se considera que la función está en fase de desarrollo, ya que el archivo APK no registra el servicio HCE en el archivo de manifiesto del paquete.
«La campaña RelayNFC destaca la rápida evolución del malware de retransmisión NFC dirigido a los sistemas de pago, particularmente en Brasil», dijo la empresa. «Al combinar la distribución basada en la suplantación de identidad, la ofuscación basada en React Native y la transmisión de APDU en tiempo real a través de WebSockets, los actores de las amenazas han creado un mecanismo muy eficaz para el fraude remoto en las transacciones EMV».