Imagen Director

El actor de amenazas Water Saci está evolucionando sus tácticas y ahora emplea una sofisticada cadena de infección que utiliza archivos HTA y PDF para propagar un gusano. Este gusano implementa un troyano bancario a través de WhatsApp y se dirige a usuarios de Brasil.

  • Los atacantes pasaron de PowerShell a una variante basada en Python para propagar malware a través de WhatsApp Web.
  • La nueva cadena de ataque multiformato utiliza IA para convertir scripts de propagación, lo que permite a Water Saci eludir los controles de seguridad, explotar la confianza de los usuarios y aumentar las tasas de infección.
  • Los usuarios reciben mensajes en WhatsApp con archivos adjuntos PDF o HTA maliciosos, que activan la cadena de infección y lanzan un troyano bancario.

La cadena de infección involucra:

  1. PDF Lure: Se indica a las víctimas que actualicen Adobe Reader haciendo clic en un enlace.
  2. Archivos HTA: Se engaña a los usuarios para que ejecuten un script de Visual Basic, que ejecuta comandos de PowerShell para recuperar cargas útiles de un servidor remoto:
    • Un instalador MSI para el troyano.
    • Un script de Python que propaga malware a través de WhatsApp Web.

El script Python mejora la compatibilidad del navegador, utiliza código orientado a objetos y mejora el manejo de errores y la automatización para la entrega de malware a través de WhatsApp Web.

El instalador MSI entrega el troyano bancario mediante un script AutoIt, que garantiza que solo se esté ejecutando una instancia del troyano al verificar la existencia de un archivo “ejecutado.dat”. También notifica a un servidor C2 (“manoelimoveiscaioba[.]com”).

El script AutoIt:

  • Verifica si el idioma del sistema Windows está configurado en portugués (Brasil).
  • Analiza el sistema infectado en busca de actividad relacionada con la banca, buscando carpetas relacionadas con aplicaciones bancarias brasileñas como Bradesco, Varsovia, Topaz OFD, Sicoob e Itaú.
  • Analiza el historial de navegación de Google Chrome del usuario para visitas a sitios web bancarios como Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi y Bradesco.
  • Comprueba si hay software antivirus y de seguridad instalado, recopilando metadatos del sistema.
  • Supervisa las ventanas abiertas, extrayendo títulos de ventanas para compararlos con una lista de entidades específicas (bancos, plataformas de pago, intercambios, billeteras criptográficas).

Si se encuentran ventanas relevantes, el script descifra e inyecta un archivo TDA en un proceso “svchost.exe” vacío. Si sólo se encuentra un archivo DMP, carga el troyano bancario directamente en la memoria del proceso AutoIt.

La persistencia se logra monitoreando el proceso “svchost.exe” y reiniciando si finaliza.

El troyano bancario implementado presenta similitudes con Casbaneiro basadas en:

  • Mecanismo de carga y entrega basado en AutoIt.
  • Monitoreo de títulos de ventanas.
  • Persistencia basada en registros.
  • Mecanismo de comando y control (C2) de respaldo basado en IMAP.

Una vez lanzado, el troyano:

  • Realiza comprobaciones antivirtualización.
  • Reúne información del host mediante consultas WMI.
  • Modifica la configuración del Registro para la persistencia.
  • Se comunica con un servidor C2 (“serverseistemasatu[.]com”) para enviar detalles y recibir comandos.

Las capacidades del troyano incluyen:

  • Envío de información del sistema.
  • Habilitar la captura de teclado.
  • Iniciar/detener la captura de pantalla.
  • Modificación de la resolución de la pantalla.
  • Simulando movimientos y clics del ratón.
  • Realizar operaciones de archivos (carga/descarga).
  • Enumeración de ventanas.
  • Creación de superposiciones bancarias falsas para capturar credenciales.

La campaña utiliza un script de Python para distribuir malware a través de sesiones web de WhatsApp utilizando Selenium. Hay evidencia que sugiere que Water Saci utilizó LLM o herramientas de traducción de código para trasladar el script de PowerShell a Python.

Además, los usuarios bancarios brasileños están siendo atacados por el malware RelayNFC para Android, que realiza ataques de retransmisión NFC para robar datos de pagos sin contacto.

  • RelayNFC implementa un canal de retransmisión APDU en tiempo real.
  • El malware se crea utilizando el código de bytes React Native y Hermes.
  • Se propaga a través de phishing, utilizando sitios señuelo en idioma portugués.
  • El objetivo es capturar los datos de la tarjeta y transmitirlos a los atacantes para realizar transacciones fraudulentas.
  • Funciona indicando a la víctima que toque su tarjeta de pago en el dispositivo y luego solicita el PIN.
  • La información capturada se envía al servidor del atacante a través de WebSocket.
  • El malware también implementa Host Card Emulation (HCE), lo que permite transmitir interacciones de tarjetas entre un terminal y un dispositivo controlado por un atacante.

Conclusiones

La campaña Water Saci destaca una nueva era de amenazas cibernéticas en Brasil, donde los atacantes utilizan plataformas de mensajería como WhatsApp como armas para orquestar campañas de malware autopropagables a gran escala. Utilizan ingeniería social para comprometer a las víctimas y mantener infecciones de troyanos bancarios, lo que demuestra la creciente sofisticación de las operaciones cibercriminales en la región. La aparición del malware RelayNFC para Android subraya aún más la evolución del panorama de amenazas dirigidas a los sistemas de pago en Brasil.

Referencias

  • Servidor C2: manoelimoveiscaioba[.]com
  • Servidor C2: serverseistemasatu[.]com
  • Sitio de phishing (RelayNFC): sitio maisseguraca[.]
  • Sitio de phishing (RelayNFC): test.ikotech[.]online