Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Trojan Bancário Banco de água Saci Trojan

Banco de água Saci Trojan

Por Mezo em Trojan Bancário, Ameaça Persistente Avançada (APT), Malware móvel
Traduzir Para:

As operações de cibercriminosos continuam a evoluir, e o grupo brasileiro Water Saci demonstrou um notável salto em sofisticação. Campanhas recentes exploram cadeias de infecção em múltiplas camadas, utilizando arquivos HTA, PDFs e o WhatsApp para propagar um trojan bancário, visando usuários brasileiros com uma eficiência sem precedentes.

Cadeia de ataque multiformato: do PowerShell ao Python

A última onda de ataques marca uma mudança significativa nas táticas do Water Saci. Anteriormente dependente do PowerShell, o grupo de ameaças agora emprega uma variante baseada em Python que dissemina malware de forma semelhante a um worm através do WhatsApp Web.

Os principais elementos dessa cadeia de ataque aprimorada incluem:

Golpes com PDFs : As vítimas recebem arquivos PDF com instruções para atualizar o Adobe Reader clicando em um link malicioso.

Arquivos HTA : Quando executados, esses arquivos executam scripts Visual Basic que iniciam comandos do PowerShell para obter cargas úteis, incluindo um instalador MSI para o trojan e o script Python responsável pela propagação no WhatsApp.

Essa abordagem multiformato demonstra como o Water Saci estruturou seus mecanismos de ataque em camadas, provavelmente utilizando IA ou ferramentas automatizadas para traduzir scripts de PowerShell para Python. Isso aumenta a compatibilidade, a velocidade, a resiliência e a facilidade de manutenção da distribuição do malware.

Instalador MSI e carregador de Trojan baseado em AutoIt

O instalador MSI serve como mecanismo de distribuição para o trojan bancário. Seu script AutoIt executa diversas funções críticas:

  • Garante que apenas uma instância do trojan esteja em execução, verificando a existência de um arquivo marcador (executed.dat) e notificando um servidor controlado pelo atacante.
  • Verifica as configurações de idioma do sistema (português - Brasil) antes de procurar arquivos e aplicativos relacionados a serviços bancários, incluindo Bradesco, Warsaw, Topaz OFD, Sicoob e Itaú.
  • Pesquisa no histórico do Google Chrome visitas aos principais bancos brasileiros: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi e Bradesco.

O carregador utiliza o esvaziamento de processos e o carregamento intermediário de PE (Process Encryption) por meio de arquivos TDA/DMP para injetar o trojan na memória, garantindo furtividade e persistência. Se o processo do trojan for encerrado, ele se reinjeta automaticamente quando a vítima acessa um site bancário.

Funcionalidade do Trojan: Reconhecimento agressivo e roubo de credenciais

O trojan Water Saci apresenta capacidades avançadas de monitoramento, controle e roubo de dados, incluindo:

  • Monitoramento do título da janela para detectar plataformas bancárias ou de criptomoedas.
  • Encerramento forçado do navegador para reabrir sites controlados pelo atacante.
  • Reconhecimento de hosts e sistemas por meio de consultas WMI.
  • Modificações no registro para garantir a persistência.
  • Comunicação C2 para controle remoto.
  • As operações suportadas incluem:
  • Envio de informações do sistema
  • Captura de teclado e tela
  • Simulação da atividade do rato
  • Operações com arquivos (upload/download)
  • Enumeração de janelas
  • Criando sobreposições bancárias falsas

Essa funcionalidade espelha trojans bancários focados na América Latina, como o Casbaneiro, refletindo continuidade estrutural e comportamental, ao mesmo tempo que emprega mecanismos de entrega mais avançados.

Propagação do WhatsApp baseada em Python

Uma inovação notável na campanha é o script em Python que propaga o malware via WhatsApp Web usando a ferramenta de automação de navegador Selenium. Há indícios de que a Water Saci possa ter empregado modelos de linguagem complexos ou ferramentas de tradução de código para adaptar a lógica de propagação original em PowerShell para Python. As saídas do console incluem até emojis, evidenciando a sofisticação do novo script.

Ao explorar a confiança e o alcance do WhatsApp, o grupo Water Saci consegue propagar malware em larga escala, contornando as defesas tradicionais e comprometendo rapidamente as vítimas.

Conclusão: Uma Nova Era de Ameaças Cibernéticas Baseadas em Mensagens

A campanha Water Saci destaca uma tendência crescente: cibercriminosos que utilizam plataformas legítimas como o WhatsApp para implantar malware complexo. Combinando engenharia social, desenvolvimento de scripts assistido por IA e distribuição de malware em múltiplas etapas, os agentes de ameaças conseguem manter infecções persistentes por trojans bancários, burlando os controles de segurança convencionais.

Este caso ressalta a necessidade de maior vigilância, proteção robusta de endpoints e conscientização do usuário, principalmente em regiões como o Brasil, onde as plataformas de mensagens desempenham um papel central na comunicação diária.

Tendendo

As Infecçoes por Malware Caem Drasticamente no...

Segurança do Computador
Tampa, St. Louis e Orlando estão no topo da lista das cidades "mais infectadas" no primeiro semestre de 2016. As infecções por malware nos Estados Unidos caíram 47,3% nos primeiros seis meses de 2016, de acordo com a equipe de pesquisa da ESG, mas a ESG adverte que os usuários de computadores não devem ser levados à complacência. O ESG também divulgou uma lista das cidades com as maiores taxas...

Mais visto

Carregando...