水薩西銀行特洛伊木馬
網路犯罪活動不斷演變,巴西駭客組織 Water Saci 的攻擊手段更是突飛猛進。近期,該組織利用 HTA 檔案、PDF 和 WhatsApp 等多層感染鏈傳播銀行木馬,以空前的效率攻擊巴西用戶。
目錄
多格式攻擊鏈:從 PowerShell 到 Python
最新一波攻擊標誌著Water Saci的策略發生了重大轉變。先前該威脅組織依賴PowerShell,而現在則使用基於Python的變種程序,透過WhatsApp Web以蠕蟲式的方式傳播惡意軟體。
此次強化攻擊鏈的關鍵要素包括:
PDF誘餌:受害者會收到PDF文件,指示他們點擊惡意連結更新Adobe Reader。
HTA 檔案:執行時,這些檔案會執行 Visual Basic 腳本,啟動 PowerShell 命令以取得有效載荷,包括木馬的 MSI 安裝程式和負責 WhatsApp 傳播的 Python 腳本。
這種多格式方法表明 Water Saci 如何建立其攻擊機制的分層結構,很可能使用了人工智慧或自動化工具將 PowerShell 腳本轉換為 Python 腳本。這提高了惡意軟體傳播的兼容性、速度、彈性和可維護性。
MSI 安裝程式和基於 AutoIt 的木馬載入器
MSI安裝程式是銀行木馬的傳播媒介。其AutoIt腳本執行以下幾個關鍵功能:
- 透過檢查標記檔案(executed.dat)並通知攻擊者控制的伺服器,確保只有一個木馬實例正在運行。
- 在掃描與銀行相關的文件和應用程式(包括 Bradesco、Warsaw、Topaz OFD、Sicoob 和 Itaú)之前,請先驗證系統語言設定(葡萄牙語-巴西)。
- 在 Google Chrome 歷史記錄中搜尋巴西主要銀行的訪問:Santander、Banco do Brasil、Caixa Econômica Federal、Sicredi 和 Bradesco。
此加載器利用進程空心化和透過TDA/DMP檔案進行中間PE加載,將木馬注入內存,從而實現隱蔽性和持久性。如果木馬程序被終止,當受害者訪問銀行網站時,它會自動重新註入。
木馬功能:主動偵察和憑證竊取
Water Saci 的木馬程式展現出先進的監控、控制和資料竊取功能,包括:
- 視窗標題監控,用於偵測銀行或加密貨幣平台。
- 強制關閉瀏覽器以重新開啟攻擊者控制的網站。
- 透過 WMI 查詢進行主機和系統偵察。
- 註冊表修改以實現持久化。
- 用於遠端控制的C2通訊。
- 支援的操作包括:
- 傳送系統訊息
- 鍵盤和螢幕截圖
- 模擬小鼠活動
- 文件操作(上傳/下載)
- 視窗枚舉
- 創建虛假銀行介面
該功能與以拉丁美洲為中心的銀行木馬(如 Casbaneiro)類似,反映了結構和行為的連續性,同時採用了更先進的傳播機制。
基於Python的WhatsApp傳播
這次攻擊活動的一項顯著創新是使用 Python 腳本,透過 Selenium 瀏覽器自動化工具在 WhatsApp Web 上傳播惡意軟體。有證據表明,Water Saci 可能使用了大型語言模型或程式碼翻譯工具,將原有的 PowerShell 傳播邏輯移植到了 Python。控制台輸出甚至包含表情符號,凸顯了新腳本的複雜性。
Water Saci 利用 WhatsApp 的信任度和覆蓋範圍,可以大規模地自我傳播惡意軟體,繞過傳統防禦措施,迅速入侵受害者係統。
結論:基於即時通訊的網路威脅新時代
Water Saci 攻擊事件凸顯了一個日益嚴重的趨勢:網路犯罪分子利用 WhatsApp 等合法平台部署複雜的惡意軟體。透過結合社會工程、人工智慧輔助腳本開發和多階段惡意軟體投放,攻擊者能夠維持持續的銀行木馬感染,同時繞過傳統的安全控制措施。
本案凸顯了提高警覺、加強終端保護和提升使用者意識的必要性,尤其是在巴西等即時通訊平台在日常溝通中發揮核心作用的地區。
