技术分析
新的Water Saci攻击链
趋势科技研究发现了通过WhatsApp Web发起的可疑文件下载,特别是名为Orcamento-2025*.zip的文件。
当用户下载并解压ZIP存档后,感染链开始启动。该存档包含一个名为Orcamento.vbs的混淆VBS下载器。此VBS下载器执行PowerShell命令,通过New-Object Net.WebClient进行无文件执行,直接在内存中下载并执行名为tadeu.ps1的PowerShell脚本。
tadeu.ps1(又名whatsapp_automation_v6_robust.ps1)
恶意软件开始其复杂攻击时,会显示一个声称是"WhatsApp Automation v6.0"的欺骗性横幅。调查显示其持续使用葡萄牙语,表明威胁行为者专注于巴西目标。
初始化时,它会生成唯一的会话标识符,并与位于hxxps://miportuarios[.]com/sisti/config[.]php的命令与控制(C&C)基础设施建立联系,以下载操作参数,包括目标列表、消息模板和时间配置。
如果C&C服务器无法访问,恶意软件会无缝回退到硬编码的默认设置,确保无论网络条件如何,攻击都能继续进行。
它在C:\temp创建临时工作空间,从GitHub下载最新的WhatsApp自动化库(WA-JS),并检索恶意ZIP有效负载,将其保存为C:\temp中的Bin.zip。
WhatsApp Web浏览器劫持
与先前攻击链劫持WhatsApp Web浏览器会话的方式类似,恶意软件检查安装的Chrome版本并下载相应的ChromeDriver用于浏览器自动化。然后安装Selenium PowerShell模块,在受害者机器上启用自动化浏览器任务。
在终止任何现有的Chrome进程并清除旧会话以确保清洁操作后,恶意软件将受害者的合法Chrome配置文件数据复制到其临时工作空间。此数据包括cookies、身份验证令牌和保存的浏览器会话。此技术允许恶意软件完全绕过WhatsApp Web的身份验证,立即访问受害者的WhatsApp账户,而不会触发安全警报或需要QR码扫描。
通过被劫持的会话,恶意软件启动带有特定自动化标志的Chrome,旨在规避检测并注入WA-JS库以控制WhatsApp。
然后,恶意软件使用复杂的JavaScript过滤系统性地收集所有WhatsApp联系人,排除特定号码模式,同时收集姓名和电话号码。收集到的联系人列表会立即外泄到C&C服务器。
远程控制机制
恶意软件实现了一个复杂的远程C&C系统,允许攻击者实时暂停、恢复和监控恶意软件的传播活动,从而能够跨受感染机器进行协调控制,将恶意软件转变为能够根据攻击者命令停止和开始其活动的僵尸网络工具。
恶意软件在每次联系前和消息延迟期间向miportuarios.com/sisti/config.php?chave=envio_ativo发送GET请求,其中C&C服务器响应包含{"success": true, "data": {"valor": "true/false"}的JSON数据:如果valor字段为"false",恶意软件立即暂停所有操作;如果为"true",则继续传播,并包含一个内置故障安全机制,如果C&C服务器变得不可访问,则默认继续操作。
当C&C服务器指示恶意软件暂停时,它会进入连续轮询循环,每30秒检查一次服务器状态,同时维护用于跟踪的验证计数器,将所有暂停/恢复事件记录回C&C服务器,并在服务器发送"继续"命令时立即恢复活动传播,允许攻击者实时操作控制以协调多个受感染机器的时间并即时响应检测威胁。
为了保持强大和响应迅速的控制,恶意软件在其生命周期的几个关键阶段执行远程状态检查:
- 传播启动检查:在开始活动前,恶意软件联系C&C服务器以确定是否应开始分发
- 每次联系验证:在处理每个联系人之前,它会与服务器验证是否有任何远程暂停命令,为攻击者提供对传播过程的精确控制
- 延迟间隔监控:在发送消息之间的等待时间内,恶意软件重复检查暂停指令,确保可以根据需要立即暂停或恢复操作
- 协调分发管理:这些控制点共同允许攻击者实时管理分发,使恶意软件高度适应和协调
自动化ZIP文件分发
恶意软件将C:\temp\Bin.zip处下载的ZIP文件转换为base64编码,以便通过WhatsApp的消息系统传输,然后使用可配置前缀和8位随机数生成随机文件名,如"Orcamento-202512345678.zip"。
恶意软件遍历每个收集到的联系人,在每个联系人之前检查远程暂停命令,然后通过用基于时间的问候和联系人名称替换模板变量来个性化问候消息。
对于每个联系人,恶意软件将JavaScript代码注入WhatsApp Web,将base64数据转换回二进制,创建File对象,并执行三步自动化序列:问候消息、恶意文件和结束消息。
恶意软件生成详细的活动统计信息并将其发送回C&C服务器,为威胁行为者提供成功率、受害者系统配置文件以及成功联系目标列表的洞察。此情报允许攻击者准确衡量活动性能,协调跨多个受感染机器的行动,并使用收集到的数据规划未来的针对性攻击。
SORVEPOTEL后门:Orcamento.vbs
反分析机制
恶意软件还进行全面的安全检查,旨在防止分析并将执行限制在预期目标。语言验证系统确保仅在葡萄牙语系统上执行。
反分析功能扩展到调试器检测,主动扫描常见分析工具,如ollydbg.exe、idaq.exe、x32dbg.exe、x64dbg.exe、windbg.exe、processhacker.exe和procmon.exe。如果任何这些检查得到满足,恶意软件会采用复杂的自毁机制,创建批处理文件以删除自身并执行清理操作。
在建立持久性之前,恶意软件实现基于WMI的互斥机制,以防止同时运行多个实例。此实现使用WMI进程枚举而不是传统的Windows互斥对象,查询wscript.exe和cscript.exe进程并检查其命令行中的服务名称。如果检测到多个实例,恶意软件退出以防止冲突。
持久化机制
恶意软件实施多向量持久化策略,确保在系统重启和用户会话中存活。自动安装例程通过注册表修改和计划任务创建建立立足点,使用名为WinManagers.vbs的自身副本保存在C:\ProgramData\WindowsManager\中。
双通道通信架构
后门最复杂的方面是其基于电子邮件的C&C基础设施。恶意软件不是依赖传统的基于HTTP的通信,而是利用IMAP连接到terra.com.br电子邮件账户,使用硬编码的电子邮件凭据连接到电子邮件账户并检索命令。
电子邮件解析系统从电子邮件内容中提取多种类型的URL:
- data:用于主要C&C服务器端点的URL
- backup:用于故障转移C&C基础设施的URL
- ps:用于PowerShell有效负载传递的URL
除了硬编码的电子邮件凭据外,攻击者还使用了其他电子邮件;监控还显示他们后来包括多因素认证(MFA)以防止未经授权访问这些账户。然而,这可能引入了操作延迟,因为每次登录都需要手动输入认证代码,可能促使部署新的电子邮件账户以简化其活动。
一旦后门从电子邮件通道获得C&C服务器URL,它就会转换到积极的基于HTTP的轮询系统,这构成了其远程访问能力的核心。每五秒,恶意软件向提取的C&C服务器发送HTTP POST请求,使用action参数get_commands查询待处理命令。
当后门收到命令时,它使用ProcessarComando()函数处理其执行。此函数以反重复机制开始,使用基于时间的跟踪在30秒窗口内忽略重复命令。如果命令是唯一的,它会解析指令以确定操作和任何参数。然后恶意软件将命令路由到适当的处理程序,使其能够执行诸如系统信息收集、执行本地或PowerShell命令、管理文件和进程、截取屏幕截图或控制系统电源状态等任务。
一旦恶意软件在受感染系统上建立立足点,它可以接收并执行其C&C服务器发送的各种指令,例如:
| 命令 | 描述 |
|---|---|
| INFO | 收集全面的系统信息,包括操作系统版本、CPU详情、计算机名称和当前用户 |
| CMD | 执行Windows命令提示符命令,带有隐藏窗口并将输出捕获到临时文件 |
| POWERSHELL | 执行PowerShell命令,带有绕过执行策略和隐藏窗口模式,用于高级系统操作 |
| SCREENSHOT | 使用PowerShell和Windows Forms捕获完整桌面截图,保存为带时间戳的PNG文件 |
| TASKLIST | 通过WMI查询枚举所有运行进程,包括PID、名称和内存使用情况 |
| KILL | 使用WMI进程终止方法按名称终止指定进程 |
| LIST_FILES | 执行目录枚举,显示文件/文件夹及其大小、日期和属性,最多100项 |
| DOWNLOAD_FILE | 使用Base64编码从受感染系统下载文件,对大文件自动分块 |
| UPLOAD_FILE | 将文件上传到受感染系统,带有自动目录创建和Base64解码 |
| DELETE | 删除指定文件或文件夹,带有强制删除功能以绕过权限 |
| RENAME | 重命名文件和文件夹,带有参数验证和错误处理 |
| COPY | 将文件或文件夹复制到指定目标,带有覆盖功能和目录创建 |
| MOVE | 在位置之间移动文件或文件夹,带有自动路径解析和错误处理 |
| FILE_INFO | 检索详细元数据,包括文件大小、创建日期、修改日期和属性 |
| SEARCH | 跨目录树搜索匹配指定模式的文件,带有递归遍历 |
| CREATE_FOLDER | 创建新目录,带有完整路径验证和自动父目录创建 |
| REBOOT | 使用Windows关机命令和强制标志,在30秒延迟后立即启动系统重启 |
| SHUTDOWN | 使用关机命令和强制参数,在30秒延迟后完全关闭系统 |
| UPDATE | 使用批处理文件替换方法从指定URL下载并安装更新的恶意软件版本 |
| CHECK_EMAIL | 手动触发立即电子邮件检查以获取新的C&C URL和基础设施更新 |
命令执行后,后门使用EnviarResultado()函数准备结果以传输回C&C服务器。此步骤包括清理输出、删除不需要的控制字符和压缩空白。如果结果超过大小限制,则在URL编码前被截断。然后通过HTTP POST请求发送数据,确保攻击者收到每个发出命令的简洁有序反馈。
Water Saci演变与可能的Coyote关联
Water Saci与Coyote有相似之处,Coyote是一种隐秘的银行木马,首次在2024年被识别,后来在2025年初观察到通过WhatsApp传播。
Water Saci和Coyote都利用社会工程学接触巴西受害者,并且两个活动的战术都显著平行演变:从通过电子邮件和ZIP文件传递的编译.NET银行木马,演变为使用复杂的脚本驱动自动化,劫持浏览器会话并利用WhatsApp Web。
感染方法和持续的战术演变,以及区域聚焦的目标定位表明,Water Saci很可能与Coyote有关联,并且两个活动都在同一个巴西网络犯罪生态系统中运作。将Water Saci活动与Coyote联系起来揭示了一个更大的图景,展示了银行木马传播方法的重大转变。威胁行为者已经从依赖传统有效负载转变为利用合法浏览器配置文件和消息平台进行隐秘、可扩展的攻击。
演变矩阵
| 方面 | Coyote | SORVEPOTEL(2025年9月) | SORVEPOTEL(2025年10月) |
|---|---|---|---|
| 主要感染向量 | 钓鱼邮件(带LNK/MSI的ZIP)和后来的直接恶意链接 | 通过被劫持的WhatsApp Web会话自我传播,传递带LNK下载器的ZIP文件 | 通过被劫持的WhatsApp Web会话自我传播,传递带VBS下载器的ZIP文件 |
| 执行链 | 滥用Squirrel安装程序和NodeJS;使用高级Nim和Donut-based加载器 | 具有反射DLL加载和shellcode注入的多阶段PowerShell链 | 通过无文件执行的PowerShell脚本 |
| 持久化方法 | 注册表键:UserInitMprLogonScript和Software\Microsoft\Windows\CurrentVersion\Run | 启动中的BAT脚本,用于自动运行的注册表修改 | 注册表和计划任务创建(ProgramData中的WinManagers.vbs) |
| 规避 | DLL侧加载、二进制填充/混淆、XOR加密、沙箱和反分析、验证码 | 区域/地区检查、反调试、分析工具检测、域名仿冒 | 语言检查(葡萄牙语)、调试器检测(OllyDbg、IDA、x32/x64dbg等)、自删除 |
| 有效负载架构 | 单体.NET银行木马,所有功能集成到单个有效负载中 | 模块化设计,具有两个不同的有效负载:专用的WhatsApp传播模块和单独的银行木马模块 | 功能完整的后门,使用IMAP进行C&C URL检索,具有持久轮询(传播暂停/恢复)、详细统计报告、僵尸网络能力 |
| 银行木马功能 | 监控浏览器窗口、键盘记录、屏幕捕获,并部署虚假覆盖窗口以窃取凭据 | 地理位置检查、高级浏览器监控,并部署高度复杂和交互式的具有透明效果的覆盖窗口 | 无银行木马功能 |
这些演变的攻击浪潮说明了针对巴西金融和消息平台的恶意软件的快速创新和日益复杂化。虽然Water Saci和Coyote活动共享显著的技术重叠和高度相似的方法,但它们是否明确由同一威胁行为者操作仍有待观察。随着攻击者调整其方法,持续监控和分析至关重要,趋势研究继续调查这些联系以更深入地了解威胁形势。
结论
趋势研究对Water Saci活跃活动的持续监控显示,其背后的威胁行为者在数量和质量上都很积极。虽然对Water Saci活动的初步调查显示了恶意软件自我传播设施的速度,但新的攻击链展示了对抗能力的显著演变。
我们的分析显示,Water Saci背后的威胁行为者利用基于电子邮件的C&C基础设施,使用IMAP连接到terra[.]com[.]br账户,而不是传统的基于HTTP的通信通道。这种方法与多向量持久化策略相结合,确保恶意软件在系统重启和多样化用户环境中的恢复能力。
攻击链还具有检查功能以规避检测、分析并将执行限制在指定目标,进一步增强了操作隐秘性。恶意软件还使攻击者能够收集详细的活动统计信息,这有助于获取关于成功率、受害者资料和目标外联的可操作情报。这可能使威胁行为者能够更战略性地规划和衡量性能。
最值得注意的是,远程C&C系统提供高级控制,允许威胁行为者实时暂停、恢复和监督活动,有效地将受感染端点转变为协调的僵尸网络以进行动态操作。
除了攻击者采用的复杂战术和技术外,该活动在巴西的成功也可归因于网络犯罪分子在该国利用的即时消息平台的高采用率。公司遵循防御建议以保护其企业并增强检测能力,以主动缓解此类复杂威胁至关重要。
趋势研究还建议企业审查其政策并教育员工,以防止成为依赖社会工程学传播的银行木马的受害者。
对具有Water Saci调查中揭示的模块化架构的活动的即时消息平台滥用表明,使用和传播额外有效负载的可能性很高。企业保持持续警惕以应对这些演变威胁至关重要。
防御建议
为最小化与Water Saci活动相关的风险,趋势推荐几个实用的初始防御项目:
- 禁用WhatsApp上的自动下载:在WhatsApp设置中关闭媒体和文档的自动下载,以减少意外暴露于恶意文件的风险
- 控制个人应用程序上的文件传输:使用端点安全或防火墙策略在公司管理的设备上阻止或限制通过个人应用程序(如WhatsApp、Telegram或WeTransfer)的文件传输。如果组织支持BYOD,强制执行严格的应用程序白名单或容器化以保护敏感环境
- 增强用户意识:Water Saci活动的受害者学表明攻击者正在针对企业。建议组织提供定期的安全培训,帮助员工认识通过消息平台下载文件的危险。建议用户避免点击意外附件或可疑链接,即使它们来自已知联系人,并促进使用安全、批准的通道传输业务文档
- 增强电子邮件和通信安全控制:限制在公司设备上访问个人电子邮件和消息应用程序。使用带有URL过滤的Web和电子邮件网关以阻止已知的恶意C2和钓鱼域
- 强制执行多因素认证(MFA)和会话卫生:要求所有云和Web服务的MFA以防止会话劫持。建议用户在使用消息应用程序后注销,并定期清除浏览器cookies和令牌
- 部署高级端点安全解决方案:使用趋势科技端点安全平台(如Apex One或Vision One)检测和阻止可疑的基于脚本的攻击、无文件恶意软件和自动化滥用。启用行为监控以捕获未经授权的VBS/PowerShell执行、浏览器配置文件更改以及与WhatsApp和类似威胁相关的横向移动尝试
实施这些建议将帮助组织和个人更好地防御通过消息应用程序传递的恶意软件威胁。