O grupo de cibercriminosos conhecido como Water Saci vem aprimorando suas táticas, adotando uma cadeia de infecção sofisticada e altamente segmentada.
Essa nova abordagem utiliza arquivos HTML Application (HTA) e PDFs para disseminar, via WhatsApp, um worm que instala um trojan bancário em ataques direcionados a usuários no Brasil.
Na última onda, os atacantes migraram do PowerShell para uma variante baseada em Python, que propaga o malware de forma worm-like por meio do WhatsApp Web.
Pesquisadores da Trend Micro, como Jeffrey Francis Bonaobra e Sarah Pearl Camiling, destacam que essa cadeia multinível de ataques — possivelmente auxiliada por inteligência artificial para converter scripts de PowerShell em Python — tem permitido ao Water Saci escapar dos controles tradicionais de segurança, explorar a confiança dos usuários em diversos canais e aumentar significativamente suas taxas de infecção.
Nos ataques, as vítimas recebem mensagens de contatos confiáveis no WhatsApp, que as incentivam a interagir com anexos maliciosos em PDF ou HTA, acionando a cadeia de infecção.
O PDF induz a vítima a atualizar o Adobe Reader por meio de um link embutido.
Já o arquivo HTA executa automaticamente um script Visual Basic ao ser aberto, que, por sua vez, aciona comandos PowerShell para baixar payloads adicionais, um instalador MSI do trojan e um script Python responsável pela propagação via interface do WhatsApp Web.
A nova variante em Python amplia a compatibilidade com navegadores, utiliza uma estrutura orientada a objetos e oferece melhor tratamento de erros, acelerando a automação da distribuição e tornando a propagação mais rápida, resiliente e fácil de manter ou expandir, conforme explica a Trend Micro.
O instalador MSI funciona como canal para entregar o trojan bancário, usando um script AutoIt que verifica se já há uma instância ativa do trojan por meio de um arquivo marcador chamado "executed.dat".
Caso o arquivo não exista, o script o cria e envia uma notificação para o servidor controlado pelos atacantes ("manoelimoveiscaioba[.]com").
Além disso, outros artefatos AutoIt identificados pela Trend Micro garantem que o sistema infectado esteja configurado com o idioma português (Brasil) e só avançam para escanear atividades bancárias se esse critério for atendido.
O malware verifica a presença de pastas associadas aos principais bancos brasileiros e seus módulos de segurança, incluindo Bradesco, Warsaw, Topaz OFD, Sicoob e Itaú.
Essa técnica lembra variantes focadas na América Latina, como o trojan Casbaneiro (também conhecido como Metamorfo e Ponteiro), que já incorporava recursos semelhantes desde 2019.
O script ainda examina o histórico do navegador Google Chrome para identificar visitas a sites bancários de instituições como Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi e Bradesco.
Na sequência, o malware verifica a presença de antivírus, identifica softwares de segurança instalados e coleta metadados detalhados do sistema.
Sua função principal é monitorar as janelas abertas no sistema, extraindo seus títulos para comparar com uma lista de bancos, plataformas de pagamento, exchanges e carteiras de criptomoedas.
Quando detecta janelas relacionadas a esses alvos, o script procura por um arquivo TDA deixado pelo instalador, que é descriptografado e injetado em um processo "svchost.exe" hollowed (vazio).
Em seguida, o carregador busca um arquivo DMP adicional que contém o trojan bancário.
Se o arquivo TDA estiver presente, o script AutoIt o carrega como um carregador intermediário (Stage 2) na memória.
Se apenas o arquivo DMP estiver disponível, o trojan é carregado diretamente na memória do processo AutoIt, ignorando a etapa de hollowing e configurando uma infecção em duas etapas mais simples.
A persistência do malware é garantida pelo monitoramento constante do processo "svchost.exe" recém-criado.
Se o processo for interrompido, o malware reinicia e aguarda para reinjetar o payload quando a vítima abrir uma janela de navegador em serviços financeiros visados.
Essa campanha representa uma mudança tática significativa.
O trojan bancário empregado não é o Maverick, mas um malware que mantém continuidade estrutural e comportamental com o Casbaneiro.
Essa avaliação baseia-se no uso do AutoIt para entrega e carregamento, no monitoramento do título das janelas, na persistência via Registro do Windows e no mecanismo de fallback via IMAP para comunicação com o servidor de comando e controle (C2).
Após ser ativado, o trojan realiza extensos testes anti-virtualização para evitar análise e detecção, coleta informações do hospedeiro via Windows Management Instrumentation (WMI), modifica o Registro para garantir persistência e estabelece comunicação com o servidor C2 ("serverseistemasatu[.]com"), enviando dados coletados e recebendo comandos que possibilitam controle remoto do sistema.
Entre suas funcionalidades, o malware monitora janelas abertas para identificar qualquer interação com plataformas bancárias ou de criptomoedas.
Sempre que detecta essas interações, força o encerramento de diversos navegadores para garantir que os sites sejam reabertos sob condições controladas pelos atacantes.
O trojan ainda oferece recursos como:
- Envio de informações do sistema
- Captura de teclado (keylogging)
- Início/parada de captura de tela
- Modificação da resolução da tela
- Simulação de movimentos e cliques do mouse
- Operações de arquivo (upload/download)
- Enumeração de janelas
- Criação de sobreposições falsas para roubar credenciais e dados de transações
Outra vertente da campanha usa um script Python — versão avançada da ferramenta anterior em PowerShell — para entregar o malware a todos os contatos da vítima via sessões do WhatsApp Web, utilizando a ferramenta de automação Selenium.
Há indícios fortes de que o Water Saci tenha empregado modelos de linguagem grandes (LLMs) ou ferramentas de tradução de código para migrar o script de propagação do PowerShell para Python.
Essa hipótese é sustentada pelas semelhanças funcionais entre as versões e pela presença de emojis nas saídas do console.
Segundo a Trend Micro, essa campanha representa uma nova era das ameaças cibernéticas no Brasil, em que hackers exploram a confiança e o alcance de plataformas populares de mensagens como o WhatsApp para realizar ataques massivos e auto-propagáveis.
Ao transformar canais legítimos em vetores de infecção e aplicar engenharia social avançada, os criminosos comprometem rapidamente suas vítimas, burlam defesas tradicionais e mantêm infecções persistentes de trojans bancários, evidenciando a crescente sofisticação dessas operações na região.
Além disso, usuários brasileiros do sistema bancário móvel também estão sendo alvos de um malware Android chamado RelayNFC, que realiza ataques de retransmissão via Near-Field Communication (NFC) para capturar dados de pagamentos por aproximação.
Essa campanha, ativa desde novembro de 2025, utiliza phishing e sites falsos em português (como "maisseguraca[.]site") para enganar usuários, simulando a necessidade de proteger seus cartões.
De acordo com a empresa de segurança Cyble, o RelayNFC implementa um canal de retransmissão APDU em tempo real, permitindo que os atacantes realizem transações como se tivessem o cartão fisicamente presente.
Desenvolvido com React Native e bytecode Hermes, o malware dificulta análises estáticas e evita a detecção.
Funcionando como um leitor, o malware instrui a vítima a aproximar o cartão do dispositivo infectado para capturar os dados, solicitando em seguida o PIN de 4 ou 6 dígitos, que é enviado ao servidor dos criminosos via conexão WebSocket.
Quando o atacante inicia uma transação no dispositivo emulador de POS, o servidor C2 envia comandos APDU específicos ao celular infectado, que os retransmite ao sistema NFC do dispositivo da vítima, funcionando como uma interface remota do cartão.
A investigação também revelou um site de phishing separado ("test.ikotech[.]online") que distribui um APK com implementação parcial de Host Card Emulation (HCE).
Essa técnica, ainda em desenvolvimento, permitiria a um dispositivo Android emular um cartão físico, facilitando ataques de retransmissão NFC em tempo real entre terminais legítimos e dispositivos controlados por invasores.
A campanha RelayNFC evidencia a rápida evolução dos malwares de retransmissão NFC direcionados a sistemas de pagamento, especialmente no Brasil.
A combinação de distribuição via phishing, obfuscação por React Native e retransmissão APDU em tempo real cria um mecanismo eficiente para fraudes envolvendo transações EMV.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...