### Water Saci refuerza su malware autopropagante para atacar bancos y ‘exchanges’ de criptomonedas a través de usuarios empresariales de aplicaciones de chat

#### Introducción

El grupo de amenazas conocido como Water Saci ha actualizado recientemente su malware autopropagante, aumentando significativamente su capacidad para comprometer infraestructuras críticas en el sector financiero. Según análisis recientes, la nueva variante está diseñada específicamente para infiltrarse en bancos y plataformas de intercambio de criptomonedas, aprovechando como vector principal a los usuarios empresariales de populares aplicaciones de mensajería instantánea.

#### Contexto del Incidente

Water Saci es un actor de amenazas identificado desde 2023, conocido por su enfoque en ataques dirigidos y su capacidad para adaptar rápidamente su arsenal de malware. En los últimos meses, se ha observado una intensificación de sus actividades, con campañas dirigidas a instituciones financieras y exchanges de criptomonedas en Europa y América Latina. Lo que distingue esta campaña es el uso de aplicaciones de chat empresariales –como Slack, Microsoft Teams y Discord– como canal inicial de infección, aprovechando la confianza inherente en las comunicaciones internas y la alta prevalencia de estas plataformas en entornos corporativos.

#### Detalles Técnicos

El malware actualizado de Water Saci presenta capacidades de autopropagación dentro de redes empresariales, similar a técnicas vistas en amenazas como Emotet. Se han identificado campañas que emplean archivos maliciosos (principalmente documentos ofimáticos con macros o enlaces a ejecutables camuflados) distribuidos a través de mensajes directos en plataformas de chat. Tras la ejecución inicial, el malware utiliza técnicas de “living off the land” (LotL) para evadir la detección, aprovechando herramientas legítimas como PowerShell, Windows Management Instrumentation (WMI) y scripts de VBScript.

**CVE y vectores de ataque:**
Aunque el malware no explota una vulnerabilidad CVE específica en las aplicaciones de mensajería, sí se apoya en la explotación de técnicas de ingeniería social, combinadas con el abuso de permisos excesivos y configuraciones de seguridad laxas en los canales de chat empresariales. Un vector frecuente es el envío de archivos adjuntos maliciosos o enlaces a sitios de phishing que descargan payloads de segunda fase.

**TTPs MITRE ATT&CK:**
– **Initial Access (T1192, T1566):** Spearphishing a través de servicios de chat.
– **Execution (T1059):** Uso de PowerShell y scripts para ejecución de código.
– **Persistence (T1547):** Modificación de claves de registro para persistencia.
– **Command and Control (T1071):** Comunicación cifrada con servidores C2 mediante HTTP/HTTPS y WebSocket.
– **Lateral Movement (T1021):** Uso de credenciales robadas para moverse por la red.

**IoCs conocidos:**
– Dominios de C2: secops[.]saciwater[.]xyz, api[.]watersaci[.]net
– Hashes de archivos:
– b7f2e2d3548c3f5a9a4e3e7a6a12e7e0
– 3ff6d12e7421c6a8b7b648e8e9f9eb10

Herramientas y frameworks detectados incluyen Metasploit para la obtención de shells inversos y Cobalt Strike para el despliegue de beacons y movimiento lateral.

#### Impacto y Riesgos

El principal riesgo reside en la capacidad del malware para comprometer cuentas privilegiadas y acceder a sistemas bancarios internos y wallets de criptomonedas. En pruebas de laboratorio, la tasa de propagación interna superó el 60% en redes con políticas de segmentación laxas. Se han documentado robos de credenciales, exfiltración de datos sensibles (incluyendo claves privadas y registros de transacciones) y la instalación de ransomware como payload final en un 25% de los incidentes analizados.

Las pérdidas económicas estimadas superan los 30 millones de euros en lo que va de 2024, con afectación directa sobre la confidencialidad, integridad y disponibilidad de activos financieros. Además, los incidentes conllevan riesgos de sanciones regulatorias bajo el RGPD y la inminente directiva NIS2, especialmente en entidades consideradas operadores de servicios esenciales.

#### Medidas de Mitigación y Recomendaciones

– **Reforzar la seguridad en aplicaciones de chat:** Implementar controles de acceso granulares, deshabilitar la ejecución automática de archivos y restringir el intercambio de adjuntos externos.
– **Concienciación y formación:** Realizar simulacros de phishing y campañas de formación para empleados, especialmente aquellos con acceso a sistemas financieros sensibles.
– **Monitorización proactiva:** Implantar soluciones EDR y NDR capaces de detectar comportamientos anómalos y actividades de LotL.
– **Segmentación de red:** Limitar la lateralidad mediante VLANs y políticas de firewall internas.
– **Actualizaciones y parches:** Mantener actualizado el software, incluidos clientes de chat y sistemas operativos.
– **Análisis de IoCs:** Integrar los indicadores de compromiso en SIEM/SOC y realizar búsquedas retrospectivas.

#### Opinión de Expertos

Según Marta Álvarez, CISO de una entidad bancaria española, “la sofisticación de Water Saci pone de manifiesto la necesidad de tratar las aplicaciones de mensajería empresarial como superficie de ataque crítica. Los equipos deben revisar sus estrategias Zero Trust y aplicar segmentación estricta.” Por su parte, Jorge Ramírez, experto en respuesta a incidentes, advierte: “El uso de técnicas de lotl y la rápida propagación requieren capacidades avanzadas de detección y una respuesta coordinada a nivel corporativo.”

#### Implicaciones para Empresas y Usuarios

Para las empresas, el ataque de Water Saci subraya la urgencia de revisar la arquitectura de seguridad de las plataformas colaborativas y de mensajería interna. Los usuarios finales, especialmente aquellos con acceso a información financiera, deben extremar la precaución ante archivos y enlaces no solicitados, incluso si provienen de contactos aparentemente legítimos.

El cumplimiento normativo adquiere una dimensión crítica: un incidente de este tipo puede desencadenar investigaciones regulatorias bajo el RGPD y la NIS2, con sanciones que pueden alcanzar hasta el 4% de la facturación global en caso de negligencia demostrable.

#### Conclusiones

La evolución del malware autopropagante de Water Saci marca un punto de inflexión en la amenaza para bancos y exchanges de criptomonedas, explotando vectores de ataque poco vigilados como las aplicaciones de chat empresariales. La respuesta debe combinar tecnología, procesos y concienciación, reforzando la postura defensiva ante un actor cada vez más sofisticado y orientado al beneficio económico.

(Fuente: www.darkreading.com)