HackerNews 编译,转载请注明出处:
威胁组织 Water Saci正不断升级攻击战术,采用复杂的多层级感染链,通过 HTML 应用程序文件和 PDF 文档,借助 WhatsApp 传播蠕虫病毒,向巴西用户投放银行木马。
此次攻击浪潮的显著特征是,攻击者将恶意代码从 PowerShell 迁移至 Python 变体,通过 WhatsApp Web 以蠕虫形式扩散恶意软件。
趋势科技研究员杰弗里・弗朗西斯・博纳奥布拉、莎拉・珀尔・卡米林、乔・苏亚雷斯、拜伦・赫莱拉、伊恩・克尼菲克及伊曼纽尔・帕诺皮奥指出:“他们新采用的多格式攻击链,以及可能利用AI将传播脚本从 PowerShell 转换为 Python 的做法,体现了分层攻击思路。这一策略使水萨西能够绕过传统安全控制,利用多渠道用户信任,显著提升感染率。”
- 钓鱼诱导:用户通过 WhatsApp 收到来自可信联系人的消息,诱导其打开恶意 PDF 或 HTA 附件,触发感染链。其中,PDF 诱饵会提示受害者点击嵌入式链接更新 Adobe Reader。
- HTA 文件执行:接收 HTA 文件的用户打开后,会被诱骗立即执行 Visual Basic 脚本,该脚本随后运行 PowerShell 命令,从远程服务器获取下一阶段载荷 —— 木马的 MSI 安装程序和负责通过 WhatsApp Web 传播恶意软件的 Python 脚本。
- Python 脚本优势:趋势科技表示,“这款新发现的变体具备更广泛的浏览器兼容性、面向对象的代码结构、增强的错误处理能力,以及通过 WhatsApp Web 实现更快的恶意软件自动化分发。这些改进使传播速度更快、抗故障能力更强,且更易于维护和扩展。”
- 安装与持久化:MSI 安装程序通过 AutoIt 脚本投放银行木马,并检查名为 “executed.dat” 的标记文件,确保同一时间仅运行一个木马实例(若文件不存在则创建,并向攻击者控制的服务器 “manoelimoveiscaioba [.] com” 发送通知)。
- 地域靶向:脚本会验证 Windows 系统语言是否为巴西葡萄牙语,仅当满足该条件时才继续扫描受感染系统的银行相关活动,包括检测巴西主要银行应用、安全及反欺诈模块的文件夹(如布拉德斯科银行、华沙安全软件、Topaz OFD、西库银行、伊塔乌银行等)。
- 侦察行为:脚本还会分析用户的谷歌浏览器浏览历史,搜索预设的巴西银行网站(如桑坦德银行、巴西银行、联邦储蓄银行、西克雷迪银行、布拉德斯科银行);同时检查已安装的杀毒软件和安全工具,收集详细的系统元数据。
- 核心攻击动作:木马监控打开的窗口并提取标题,与银行、支付平台、交易所及加密货币钱包的关键词列表进行匹配。若检测到目标窗口,脚本会查找安装程序释放的 TDA 文件,解密后注入 “空心化” 的 “svchost.exe” 进程,随后加载包含银行木马的 DMP 文件。趋势科技解释:“若存在 TDA 文件,AutoIt 脚本会将其解密并作为中间 PE 加载器(第二阶段)载入内存;若仅发现 DMP 文件(无 TDA),则跳过中间加载器和进程空心化步骤,直接将银行木马载入 AutoIt 进程内存,形成更简洁的两阶段感染。”
- 持久化机制:木马通过持续监控新生成的 “svchost.exe” 进程维持持久化,若进程被终止,会重新启动并等待受害者下次打开目标金融服务浏览器窗口时,重新注入载荷。
此次攻击的重大战术转变在于,投放的银行木马并非该组织此前使用的 Maverick,而是与 Casbaneiro(又名 Metamorfo、Ponteiro)木马在结构和行为上存在连续性的恶意软件。这一判断基于其采用的 AutoIt 交付与加载机制、窗口标题监控、注册表持久化及基于 IMAP 的备用命令与控制(C2)机制 —— 类似特征早在 2019 年就已出现在针对拉丁美洲(LATAM)的银行木马中。
木马启动后,会执行 “激进的” 反虚拟化检查以规避分析和检测,通过 Windows 管理规范查询收集主机信息,修改注册表实现持久化,并与 C2 服务器 “serverseistemasatu [.] com” 建立连接,发送收集到的信息并接收后门命令,实现对受感染系统的远程控制。
其核心功能包括:
- 发送系统信息
- 启用键盘记录
- 启动 / 停止屏幕捕获
- 修改屏幕分辨率
- 模拟鼠标移动和点击
- 执行文件操作
- 上传 / 下载文件
- 枚举窗口
- 创建伪造银行界面(Overlay)捕获凭证和交易数据
此外,Python 脚本作为 PowerShell 版本的增强版,借助 Selenium 浏览器自动化工具,可通过 WhatsApp Web 会话向所有联系人分发恶意软件。趋势科技指出,“有充分证据表明,水萨西可能使用了大型语言模型(LLM)或代码转换工具将传播脚本从 PowerShell 迁移至 Python,两款版本功能高度相似,且控制台输出中包含表情符号。”
趋势科技总结:“水萨西攻击事件标志着巴西网络威胁进入新时代 —— 攻击者利用 WhatsApp 等热门即时通讯平台的信任度和覆盖范围,策划大规模、自传播的恶意软件攻击。通过将熟悉的通信渠道武器化,并运用高级社会工程学,威胁组织能够迅速攻陷受害者设备,绕过传统防御,维持银行木马的持久感染。此次攻击表明,合法平台可能被转化为强大的恶意软件传播载体,同时凸显了该地区网络犯罪活动的日益复杂化。”
与此同时,巴西银行用户正遭受一款名为 RelayNFC 的新型安卓恶意软件攻击。该恶意软件此前未被公开记录,专门实施近场通信中继攻击,窃取非接触式支付数据。相关攻击活动始于 2025 年 11 月初。
Cyble 安全团队在分析报告中表示:“RelayNFC 实现了完整的实时 APDU 中继通道,使攻击者能够在受害者卡片未实际在场的情况下完成交易。该恶意软件基于 React Native 和 Hermes 字节码构建,增加了静态分析难度,有助于规避检测。”
- 传播方式:主要通过钓鱼攻击传播,攻击者搭建葡萄牙语诱饵网站(如 “maisseguraca [.] site”),以 “保障支付卡安全” 为借口,诱骗用户安装恶意软件。
- 数据窃取:与 SuperCard X、PhantomCard 等其他 NFC 中继恶意软件家族类似,RelayNFC 扮演 “读卡器” 角色,指示受害者将支付卡轻触手机以收集卡片数据。读取完成后,恶意软件会提示用户输入 4 位或 6 位 PIN 码,捕获的信息通过 WebSocket 连接发送至攻击者服务器。
- 实时中继交易:Cyble 解释:“当攻击者通过其销售终端(POS)仿真设备发起交易时,C2 服务器会向受感染手机发送特制的‘apdu’类型消息,包含唯一请求 ID、会话标识符和编码为十六进制字符串的 APDU 命令。RelayNFC 接收指令后,解析数据包、提取 APDU 数据,并直接转发至受害者设备的 NFC 子系统,相当于物理支付卡的远程接口。”
Cyble 的调查还发现了另一个钓鱼网站(“test.ikotech [.] online”),该网站分发的 APK 文件部分实现了主机卡模拟(HCE)功能,表明威胁组织正在测试不同的 NFC 中继技术。HCE 允许安卓设备模拟支付卡,使受害者的卡片交互能够在合法销售终端(PoS)与攻击者控制的设备之间传输,从而实现实时 NFC 中继攻击。目前该功能仍在开发中,因为 APK 文件未在包清单中注册 HCE 服务。
Cyble 指出:“RelayNFC 攻击事件凸显了针对支付系统的 NFC 中继恶意软件的快速演变,尤其是在巴西地区。威胁组织结合钓鱼传播、基于 React Native 的混淆技术,以及通过 WebSocket 实现的实时 APDU 中继,打造了一套高效的远程 EMV 交易欺诈机制。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
