Brasil está siendo el epicentro de una campaña de ciberataques sumamente agresivos liderada por el actor de amenazas conocido como Water Saci. Lo alarmante de esta operación no es solo el virus en sí, sino su método de propagación: un gusano automatizado que secuestra cuentas de WhatsApp para auto-enviarse a todos los contactos de la víctima.
La Trampa: Confianza Ciega
A diferencia del spam tradicional que llega de números desconocidos, este ataque llega desde el chat de un contacto de confianza (un amigo, familiar o colega de trabajo que ya ha sido infectado). El mensaje suele iniciar a la víctima a abrir un archivo adjunto, generalmente disfrazado como una factura o documento importante en formato PDF o archivos HTA (aplicaciones HTML).
Cadena de Infección
- El Clic: Al abrir el archivo malicioso en un ordenador (vía WhatsApp Web), se ejecuta un script oculto.
- El cambio a Python: Los atacantes han actualizado su código de PowerShell a Python, lo que les da mayor compatibilidad y sigilo para evadir antivirus.
- El Secuestro: El malware toma control de la sesión de WhatsApp Web de la víctima y comienza a reenviar el mismo archivo infectado a su lista de contactos automáticamente, convirtiendo al usuario en un nuevo nodo de infección.
- El Robo: Finalmente, se descarga la carga útil principal: un troyano bancario (similar a las familias Casbaneiro o Coyote) diseñado para superponerse a las webs de los bancos y robar credenciales.
Amenaza Doble: RelayNFC
Paralelamente, se ha detectado una nueva herramienta llamada RelayNFC dirigida a móviles Android. Este malware es capaz de interceptar pagos “contactless” (NFC), permitiendo a los atacantes realizar compras con la tarjeta de la víctima como si la tuvieran básicamente en su poder.
El peligro de los archivos HTA
Muchos usuarios saben que no deben abrir archivos .exe, pero desconocen que un archivo .hta (aplicación HTML) es igual de peligroso. Windows los ejecuta como si fueran programas de confianza, lo que permite a los atacantes saltarse muchas protecciones básicas. Consejo: Configure Windows para que siempre muestre las extensiones de los archivos. Si ves un documento que dice “Factura.pdf.hta”, es 100% un virus.
Desconfianza “Zero Trust” en Mensajería
Este ataque explota la ingeniería social más básica: la confianza. Recomendación: Si recibes un archivo inesperado de un contacto, pregunta antes de abrir. Un simple mensaje de vuelta (“¿Qué es esto que me acabas de enviar?”) puede salvarte, ya que el gusano automatizado generalmente no sabe responder preguntas contextuales.
Revisión de sesiones
Dado que el ataque se apoya en WhatsApp Web, es vital revisar periódicamente las “Sesiones Vinculadas” en tu aplicación móvil de WhatsApp y cerrar cualquier sesión que no reconozcas o que haya quedado abierta en ordenadores antiguos.
