水萨西银行特洛伊木马
网络犯罪活动不断演变,巴西黑客组织 Water Saci 的攻击手段更是突飞猛进。近期,该组织利用 HTA 文件、PDF 和 WhatsApp 等多层感染链传播银行木马,以空前的效率攻击巴西用户。
目录
多格式攻击链:从 PowerShell 到 Python
最新一波攻击标志着Water Saci的策略发生了重大转变。此前该威胁组织依赖PowerShell,而现在则使用基于Python的变种程序,通过WhatsApp Web以蠕虫式的方式传播恶意软件。
此次强化攻击链的关键要素包括:
PDF诱饵:受害者会收到PDF文件,指示他们点击恶意链接来更新Adobe Reader。
HTA 文件:执行时,这些文件会运行 Visual Basic 脚本,启动 PowerShell 命令来获取有效载荷,包括木马的 MSI 安装程序和负责 WhatsApp 传播的 Python 脚本。
这种多格式方法表明 Water Saci 如何构建其攻击机制的分层结构,很可能使用了人工智能或自动化工具将 PowerShell 脚本转换为 Python 脚本。这提高了恶意软件传播的兼容性、速度、弹性和可维护性。
MSI 安装程序和基于 AutoIt 的木马加载器
MSI安装程序是银行木马的传播媒介。其AutoIt脚本执行以下几个关键功能:
- 通过检查标记文件(executed.dat)并通知攻击者控制的服务器,确保只有一个木马实例在运行。
- 在扫描与银行相关的文件和应用程序(包括 Bradesco、Warsaw、Topaz OFD、Sicoob 和 Itaú)之前,验证系统语言设置(葡萄牙语-巴西)。
- 在 Google Chrome 历史记录中搜索对巴西主要银行的访问:Santander、Banco do Brasil、Caixa Econômica Federal、Sicredi 和 Bradesco。
该加载器利用进程空心化和通过TDA/DMP文件进行中间PE加载,将木马注入内存,从而实现隐蔽性和持久性。如果木马进程被终止,当受害者访问银行网站时,它会自动重新注入。
木马功能:主动侦察和凭证窃取
Water Saci 的木马程序展现出先进的监控、控制和数据窃取功能,包括:
- 窗口标题监控,用于检测银行或加密货币平台。
- 强制关闭浏览器以重新打开攻击者控制的网站。
- 通过 WMI 查询进行主机和系统侦察。
- 注册表修改以实现持久化。
- 用于远程控制的C2通信。
- 支持的操作包括:
- 发送系统信息
- 键盘和屏幕截图
- 模拟小鼠活动
- 文件操作(上传/下载)
- 窗口枚举
- 创建虚假银行界面
该功能与以拉丁美洲为中心的银行木马(如 Casbaneiro)类似,反映了结构和行为上的连续性,同时采用了更先进的传播机制。
基于Python的WhatsApp传播
此次攻击活动的一项显著创新是使用 Python 脚本,通过 Selenium 浏览器自动化工具在 WhatsApp Web 上传播恶意软件。有证据表明,Water Saci 可能使用了大型语言模型或代码翻译工具,将原有的 PowerShell 传播逻辑移植到了 Python。控制台输出甚至包含表情符号,凸显了新脚本的复杂性。
Water Saci 利用 WhatsApp 的信任度和覆盖范围,可以大规模地自我传播恶意软件,绕过传统防御措施,迅速入侵受害者系统。
结论:基于即时通讯的网络威胁新时代
Water Saci 攻击事件凸显了一个日益严重的趋势:网络犯罪分子利用 WhatsApp 等合法平台部署复杂的恶意软件。通过结合社会工程、人工智能辅助脚本开发和多阶段恶意软件投放,攻击者能够维持持续的银行木马感染,同时绕过传统的安全控制措施。
本案凸显了提高警惕、加强终端保护和提升用户意识的必要性,尤其是在巴西等即时通讯平台在日常沟通中发挥核心作用的地区。
