El actor de amenazas conocido como Bolsas de agua está evolucionando activamente sus tácticas, cambiando a una cadena de infección sofisticada y con muchas capas que utiliza archivos de aplicaciones HTML (HTA) y PDF para propagar a través de WhatsApp un gusano que implementa un troyano bancario en ataques dirigidos a usuarios en Brasil.
La última ola se caracteriza por el cambio de los atacantes de PowerShell a una variante basada en Python que propaga el malware en forma de gusano a través de WhatsApp Web.
«Su nueva cadena de ataque multiformato y el posible uso de inteligencia artificial (IA) para convertir scripts de propagación de PowerShell a Python ejemplifica un enfoque en capas que ha permitido a Water Saci eludir los controles de seguridad convencionales, explotar la confianza de los usuarios a través de múltiples canales y aumentar sus tasas de infección», dijeron los investigadores de Trend Micro Jeffrey Francis Bonaobra, Sarah Pearl Camiling, Joe Soares, Byron Gelera, Ian Kenefick y Emmanuel Panopio.
En estos ataques, los usuarios reciben mensajes de contactos confiables en WhatsApp, instándolos a interactuar con archivos adjuntos PDF o HTA maliciosos y activar la cadena de infección y, en última instancia, soltar un troyano bancario que puede recopilar datos confidenciales. El señuelo PDF indica a las víctimas que actualicen Adobe Reader haciendo clic en un enlace incrustado.
Los usuarios que reciben archivos HTA son engañados para que ejecuten un script de Visual Basic inmediatamente después de abrirlo, que luego ejecuta comandos de PowerShell para recuperar las cargas útiles de la siguiente etapa desde un servidor remoto, un instalador MSI para el troyano y un script de Python que es responsable de propagar el malware a través de WhatsApp Web.
«Esta variante recientemente observada permite una compatibilidad más amplia del navegador, una estructura de código orientada a objetos, un manejo de errores mejorado y una automatización más rápida de la entrega de malware a través de WhatsApp Web», dijo Trend Micro. «En conjunto, estos cambios hacen que la propagación sea más rápida, más resistente a fallas y más fácil de mantener o extender».
El instalador MSI, por su parte, sirve como conducto para distribuir el troyano bancario mediante un script AutoIt. El script también ejecuta comprobaciones para garantizar que solo se esté ejecutando una instancia del troyano en un momento dado. Lo logra verificando la presencia de un archivo marcador llamado «ejecutado.dat». Si no existe, el script crea el archivo y lo notifica a un servidor controlado por el atacante («manoelimoveiscaioba(.)com»).
También se ha descubierto que otros artefactos de AutoIt descubiertos por Trend Micro verifican si el idioma del sistema Windows está configurado en portugués (Brasil), y proceden a escanear el sistema infectado en busca de actividad bancaria solo si se cumple este criterio. Esto incluye la búsqueda de carpetas relacionadas con las principales aplicaciones bancarias brasileñas, módulos de seguridad y antifraude, como Bradesco, Varsovia, Topaz OFD, Sicoob e Itaú.
Vale la pena señalar que los troyanos bancarios centrados en América Latina (LATAM) como Casbaneiro (también conocido como Metamorfo y Ponteiro) han incorporado características similares desde 2019. Además, el script analiza el historial de navegación de Google Chrome del usuario para buscar visitas a sitios web bancarios, específicamente una lista codificada que comprende Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi y Bradesco.
Luego, el script pasa a otro paso de reconocimiento crítico que implica verificar si hay software antivirus y de seguridad instalado, así como recopilar metadatos detallados del sistema. La principal funcionalidad del malware es monitorear las ventanas abiertas y extraer sus títulos para compararlas con una lista de bancos, plataformas de pago, intercambios y billeteras de criptomonedas.
Si alguna de estas ventanas contiene palabras clave relacionadas con entidades objetivo, el script busca un archivo TDA arrojado por el instalador y lo descifra y lo inyecta en un proceso hueco «svchost.exe», después de lo cual el cargador busca un archivo DMP adicional que contenga el troyano bancario.
«Si hay un archivo TDA presente, el script AutoIt lo descifra y lo carga como un cargador PE intermedio (Etapa 2) en la memoria», explicó Trend Micro. «Sin embargo, si sólo se encuentra un archivo DMP (no hay TDA presente), el script AutoIt omite por completo el cargador intermedio y carga el troyano bancario directamente en la memoria del proceso AutoIt, omitiendo el paso de vaciado del proceso y ejecutándose como una infección más simple de dos etapas».
La persistencia se logra controlando constantemente el proceso «svchost.exe» recién generado. Si se finaliza el proceso, el malware comienza de nuevo y espera para reinyectar la carga útil la próxima vez que la víctima abra una ventana del navegador para un servicio financiero al que apunta Water Saci.
Los ataques destacan por un importante cambio táctico. El troyano bancario implementado no es Maverick, sino más bien un malware que muestra una continuidad estructural y de comportamiento con Casbaneiro. Esta evaluación se basa en el mecanismo de carga y entrega basado en AutoIt empleado, así como en la supervisión del título de la ventana, la persistencia basada en el Registro y el mecanismo de comando y control alternativo basado en IMAP (C2 o C&C).
Una vez iniciado, el troyano lleva a cabo controles antivirtualización «agresivos» para eludir el análisis y la detección, y recopila información del host a través de consultas del Instrumental de administración de Windows (WMI). Realiza modificaciones en el Registro para configurar la persistencia y establece contacto con un servidor C2 («serverseistemasatu(.)com») para enviar los detalles recopilados y recibir comandos de puerta trasera que otorgan control remoto sobre el sistema infectado.
Además de escanear los títulos de las ventanas activas para identificar si el usuario está interactuando con plataformas bancarias o de criptomonedas, el troyano cierra por la fuerza varios navegadores para obligar a las víctimas a reabrir sitios bancarios bajo «condiciones controladas por el atacante». Algunas de las funciones admitidas por el troyano se enumeran a continuación:
- Enviar información del sistema
- Habilitar captura de teclado
- Iniciar/detener captura de pantalla
- Modificar la resolución de la pantalla
- Simular movimientos y clics del mouse.
- Realizar operaciones de archivos
- Cargar/descargar archivos
- Enumerar ventanas y
- Cree superposiciones bancarias falsas para capturar credenciales y datos de transacciones
El segundo aspecto de la campaña es el uso de un script Python, una versión mejorada de su predecesor PowerShell, para permitir la entrega de malware a cada contacto a través de sesiones web de WhatsApp utilizando la herramienta de automatización del navegador Selenium.
Existe evidencia «convincente» que sugiere que Water Saci pudo haber utilizado un modelo de lenguaje grande (LLM) o una herramienta de traducción de código para trasladar su script de propagación de PowerShell a Python, dadas las similitudes funcionales entre las dos versiones y la inclusión de emojis en las salidas de la consola.
«La campaña Water Saci ejemplifica una nueva era de amenazas cibernéticas en Brasil, donde los atacantes explotan la confianza y el alcance de plataformas de mensajería populares como WhatsApp para orquestar campañas de malware autopropagables a gran escala», dijo Trend Micro.
«Al convertir en armas los canales de comunicación familiares y emplear ingeniería social avanzada, los actores de amenazas pueden comprometer rápidamente a las víctimas, eludir las defensas tradicionales y mantener infecciones persistentes de troyanos bancarios. Esta campaña demuestra cómo las plataformas legítimas pueden transformarse en poderosos vectores para la distribución de malware y subraya la creciente sofisticación de las operaciones cibercriminales en la región».
Brasil es el objetivo del nuevo malware RelayNFC para Android
El desarrollo se produce cuando los usuarios bancarios brasileños también están siendo atacados por un malware de Android previamente no documentado denominado RelayNFC que está diseñado para llevar a cabo ataques de retransmisión de comunicación de campo cercano (NFC) y desviar datos de pagos sin contacto. La campaña ha estado en marcha desde principios de noviembre de 2025.
«RelayNFC implementa un canal de retransmisión APDU en tiempo real, permitiendo a los atacantes completar transacciones como si la tarjeta de la víctima estuviera físicamente presente», dijo Cyble en un análisis. «El malware se crea utilizando el código de bytes React Native y Hermes, lo que complica el análisis estático y ayuda a evadir la detección».
El ataque, que se propaga principalmente a través de phishing, utiliza sitios señuelo en idioma portugués (por ejemplo, «sitio maisseguraca(.)») para engañar a los usuarios para que instalen el malware con el pretexto de proteger sus tarjetas de pago. El objetivo final de la campaña es capturar los datos de la tarjeta de la víctima y transmitirlos a los atacantes, quienes luego pueden realizar transacciones fraudulentas utilizando los datos robados.
Al igual que otras familias de malware de retransmisión NFC, como SuperCard X y PhantomCard, RelayNFC funciona como un lector diseñado para recopilar datos de la tarjeta indicando a la víctima que toque su tarjeta de pago en el dispositivo. Una vez que se leen los datos de la tarjeta, el malware muestra un mensaje que les solicita que ingresen su PIN de 4 o 6 dígitos. Luego, la información capturada se envía al servidor del atacante a través de una conexión WebSocket.
«Cuando el atacante inicia una transacción desde su dispositivo emulador de POS, el servidor C&C envía un mensaje especialmente diseñado del tipo ‘apdu’ al teléfono infectado», dijo Cyble. «Este mensaje contiene un ID de solicitud único, un identificador de sesión y el comando APDU codificado como una cadena hexadecimal».
«Al recibir esta instrucción, RelayNFC analiza el paquete, extrae los datos de la APDU y los reenvía directamente al subsistema NFC del dispositivo víctima, actuando efectivamente como una interfaz remota para la tarjeta de pago física».
La compañía de ciberseguridad dijo que su investigación también descubrió un sitio de phishing separado («test.ikotech(.)online») que distribuye un archivo APK con una implementación parcial de Host Card Emulation (HCE), lo que indica que los actores de amenazas están experimentando con diferentes técnicas de retransmisión NFC.
Debido a que HCE permite que un dispositivo Android emule una tarjeta de pago, el mecanismo permite que las interacciones con la tarjeta de la víctima se transmitan entre un terminal de pago de venta (PoS) legítimo y un dispositivo controlado por un atacante, facilitando así un ataque de retransmisión NFC en tiempo real. Se considera que la función está en desarrollo, ya que el archivo APK no registra el servicio HCE en el archivo de manifiesto del paquete.
«La campaña RelayNFC destaca la rápida evolución del malware de retransmisión NFC dirigido a sistemas de pago, particularmente en Brasil», dijo la compañía. «Al combinar la distribución impulsada por el phishing, la ofuscación basada en React Native y la retransmisión de APDU en tiempo real a través de WebSockets, los actores de amenazas han creado un mecanismo altamente eficaz para el fraude remoto de transacciones EMV».