Urgente: desactiva las descargas automáticas — WhatsApp, principal vía de entrada de un nuevo troyano bancario
La nueva variante del malware Water Saci combina una compleja cadena de infección en varias etapas con una propagación casi viral a través de WhatsApp.
Una nueva oleada de ataques de Water Saci en Brasil muestra cuán rápidamente los ciberdelincuentes están complejizando su infraestructura y métodos de infección. Los especialistas de Trend Micro registraron una cadena de propagación multinivel en la que los atacantes combinan archivos HTA, archivos ZIP y documentos PDF falsos para eludir protecciones basadas en firmas sencillas y confundir el análisis. La campaña se despliega a través de WhatsApp, donde las víctimas reciben mensajes supuestamente de contactos conocidos, lo que aumenta la probabilidad de abrir adjuntos maliciosos y activar la cadena de infección.
Un cambio técnico clave fue la migración de los operadores de Water Saci de PowerShell a Python. La nueva versión del script, que utiliza Selenium para automatizar WhatsApp Web, resultó más flexible, admite Chrome, Edge y Firefox, envía archivos maliciosos más rápido e incluye un manejo de errores ampliado. Por indicios indirectos, los especialistas suponen que los autores pudieron haber usado herramientas basadas en IA para traducir y optimizar el código automáticamente: en los scripts aparecen comentarios característicos, funciones mejoradas y una salida de consola inusualmente amigable con emojis, no típica del desarrollo manual de herramientas criminales.
La primera etapa de la infección se inicia al abrir un archivo HTA: un VBScript integrado despliega en la máquina un instalador MSI que entrega el intérprete de AutoIt y cargas útiles cifradas. Luego el script comprueba el idioma del sistema: el malware opera solo en portugués (Brasil), recopila información sobre aplicaciones bancarias, el historial del navegador y la presencia de antivirus, tras lo cual descifra y carga el troyano bancario. La etapa final se oculta en el proceso svchost.exe: la técnica clásica de hollowing garantiza discreción y resistencia a los reinicios.
El troyano muestra semejanzas con la familia Casbaneiro/Metamorfo: supervisa los títulos de las ventanas con sitios de bancos y de intercambios de criptomonedas, cierra navegadores, recopila información del sistema y se conecta con C&C, además de usar un canal de reserva mediante una cuenta IMAP para recibir la dirección de control actual. El conjunto integrado de comandos lo convierte en una puerta trasera completa: el operador puede ver la pantalla, controlar el ratón y el teclado, transferir archivos, reiniciar el sistema, suplantar las interfaces bancarias e interceptar credenciales.
La automatización de la propagación por WhatsApp sigue siendo una parte central de la campaña. El script de Python whatsz.py se descarga junto con el paquete de Python y los controladores para navegadores; luego captura la lista de contactos, envía archivos maliciosos de forma masiva, carga configuraciones remotas y remite informes al operador. Esto permite que Water Saci se propague casi de forma viral, aprovechando la confianza dentro de los vínculos sociales de las víctimas.
Según Trend Micro, la creciente complejidad de las herramientas de Water Saci y el uso de plataformas de comunicación habituales convierten la campaña en una de las más peligrosas para usuarios y empresas brasileñas. Los especialistas recomiendan desactivar la descarga automática de archivos en mensajeros, limitar la transmisión de documentos en aplicaciones personales, reforzar la formación del personal y aplicar protecciones avanzadas para puntos finales capaces de bloquear ataques basados en scripts y señales de automatización.
Las huellas digitales son tu debilidad, y los hackers lo saben