VietNetwork.Vn

Kẻ tấn công có tên Water Saci đang tích cực phát triển chiến thuật của mình, chuyển sang chuỗi lây nhiễm phức tạp, nhiều lớp sử dụng các tệp Ứng dụng HTML (HTA) và PDF để phát tán qua WhatsApp một loại sâu triển khai trojan ngân hàng trong các cuộc tấn công nhắm vào người dùng ở Brazil.

Làn sóng mới nhất được đặc trưng bởi việc kẻ tấn công chuyển từ PowerShell sang biến thể dựa trên Python để phát tán phần mềm độc hại theo cách giống như sâu trên WhatsApp Web.


Các nhà nghiên cứu Jeffrey Francis Bonaobra, Sarah Pearl Camiling, Joe Soares, Byron Gelera, Ian Kenefick và Emmanuel Panopio của Trend Micro cho biết: "Chuỗi tấn công đa định dạng mới của họ và khả năng sử dụng trí tuệ nhân tạo (AI) để chuyển đổi các tập lệnh lan truyền từ PowerShell sang Python là ví dụ điển hình cho phương pháp tiếp cận theo lớp giúp Water Saci vượt qua các biện pháp kiểm soát bảo mật thông thường, khai thác lòng tin của người dùng trên nhiều kênh và tăng tốc độ lây nhiễm ".

Trong các cuộc tấn công này, người dùng nhận được tin nhắn từ những người liên hệ đáng tin cậy trên WhatsApp, thúc giục họ tương tác với các tệp đính kèm PDF hoặc HTA độc hại, kích hoạt chuỗi lây nhiễm và cuối cùng thả một trojan ngân hàng có thể thu thập dữ liệu nhạy cảm. Mồi nhử PDF hướng dẫn nạn nhân cập nhật Adobe Reader bằng cách nhấp vào liên kết được nhúng.

Người dùng nhận được tệp HTA bị lừa thực thi ngay một tập lệnh Visual Basic khi mở, sau đó chạy các lệnh PowerShell để lấy các tải trọng giai đoạn tiếp theo từ máy chủ từ xa, trình cài đặt MSI cho trojan và một tập lệnh Python chịu trách nhiệm phát tán phần mềm độc hại thông qua WhatsApp Web.

Trend Micro cho biết: "Biến thể mới được phát hiện này cho phép khả năng tương thích trình duyệt rộng hơn, cấu trúc mã hướng đối tượng, xử lý lỗi được cải thiện và tự động hóa việc phân phối phần mềm độc hại thông qua WhatsApp Web nhanh hơn. Những thay đổi này giúp việc lan truyền nhanh hơn, khả năng chống lỗi tốt hơn và dễ bảo trì hoặc mở rộng hơn."

Trình cài đặt MSI, về phần mình, đóng vai trò là kênh phân phối trojan ngân hàng bằng tập lệnh AutoIt. Tập lệnh này cũng chạy các kiểm tra để đảm bảo chỉ có một phiên bản trojan đang chạy tại một thời điểm nhất định. Nó thực hiện điều này bằng cách xác minh sự hiện diện của tệp đánh dấu có tên "executed.dat". Nếu tệp này không tồn tại, tập lệnh sẽ tạo tệp và thông báo cho máy chủ do kẻ tấn công kiểm soát ("manoelimoveiscaioba[.]com").

Các hiện vật AutoIt khác được Trend Micro phát hiện cũng được tìm thấy để xác minh xem ngôn ngữ hệ thống Windows có được đặt thành tiếng Bồ Đào Nha (Brazil) hay không, và tiếp tục quét hệ thống bị nhiễm để tìm kiếm hoạt động liên quan đến ngân hàng chỉ khi tiêu chí này được đáp ứng. Điều này bao gồm việc kiểm tra các thư mục liên quan đến các ứng dụng ngân hàng lớn của Brazil, các mô-đun bảo mật và chống gian lận, chẳng hạn như Bradesco, Warsaw, Topaz OFD, Sicoob và Itaú.

Điều đáng chú ý là các trojan ngân hàng tập trung vào Châu Mỹ Latinh (LATAM) như Casbaneiro (hay còn gọi là Metamorfo và Ponteiro) đã tích hợp các tính năng tương tự từ năm 2019. Hơn nữa, tập lệnh này còn phân tích lịch sử duyệt web Google Chrome của người dùng để tìm kiếm các lượt truy cập vào các trang web ngân hàng, cụ thể là danh sách được mã hóa cứng bao gồm Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi và Bradesco.

Sau đó, tập lệnh tiến hành một bước trinh sát quan trọng khác, bao gồm kiểm tra phần mềm diệt vi-rút và bảo mật đã cài đặt, cũng như thu thập siêu dữ liệu hệ thống chi tiết. Chức năng chính của phần mềm độc hại là theo dõi các cửa sổ đang mở và trích xuất tiêu đề cửa sổ để so sánh với danh sách các ngân hàng, nền tảng thanh toán, sàn giao dịch và ví tiền điện tử.

Nếu bất kỳ cửa sổ nào trong số này chứa các từ khóa liên quan đến các thực thể mục tiêu, tập lệnh sẽ tìm kiếm tệp TDA do trình cài đặt thả ra và giải mã rồi đưa tệp này vào tiến trình "svchost.exe" đã được làm rỗng, sau đó trình tải sẽ tìm kiếm tệp DMP bổ sung có chứa trojan ngân hàng.


Trend Micro giải thích: "Nếu có tệp TDA, tập lệnh AutoIt sẽ giải mã và tải tệp đó dưới dạng trình tải PE trung gian (Giai đoạn 2) vào bộ nhớ. Tuy nhiên, nếu chỉ tìm thấy tệp DMP (không có TDA), tập lệnh AutoIt sẽ bỏ qua hoàn toàn trình tải trung gian và tải trojan ngân hàng trực tiếp vào bộ nhớ quy trình AutoIt, bỏ qua bước làm rỗng quy trình và chạy dưới dạng lây nhiễm hai giai đoạn đơn giản hơn."

Tính bền bỉ đạt được bằng cách liên tục theo dõi tiến trình "svchost.exe" mới được tạo ra. Nếu tiến trình này bị chấm dứt, phần mềm độc hại sẽ bắt đầu lại và chờ để tiêm lại mã độc vào lần tiếp theo nạn nhân mở cửa sổ trình duyệt cho một dịch vụ tài chính bị Water Saci nhắm mục tiêu.

Các cuộc tấn công này nổi bật với một sự thay đổi chiến thuật lớn. Trojan ngân hàng được triển khai không phải là Maverick, mà là một phần mềm độc hại thể hiện sự liên tục về cấu trúc và hành vi với Casbaneiro. Đánh giá này dựa trên cơ chế phân phối và tải dựa trên AutoIt được sử dụng, cũng như cơ chế giám sát tiêu đề cửa sổ, cơ chế duy trì dựa trên Registry và cơ chế chỉ huy và kiểm soát (C2) dự phòng dựa trên IMAP.

Sau khi được khởi chạy, trojan thực hiện các kiểm tra chống ảo hóa "hung hăng" để tránh phân tích và phát hiện, đồng thời thu thập thông tin máy chủ thông qua các truy vấn Windows Management Instrumentation ( WMI ). Nó thực hiện các sửa đổi Registry để thiết lập tính bền bỉ và thiết lập kết nối với máy chủ C2 ("serverseistemasatu[.]com") để gửi thông tin đã thu thập và nhận các lệnh cửa hậu cấp quyền điều khiển từ xa đối với hệ thống bị nhiễm.


Ngoài việc quét tiêu đề của các cửa sổ đang hoạt động để xác định xem người dùng có đang tương tác với nền tảng ngân hàng hay tiền điện tử hay không, trojan còn buộc phải dừng một số trình duyệt để buộc nạn nhân mở lại các trang web ngân hàng trong "điều kiện do kẻ tấn công kiểm soát". Một số tính năng được trojan hỗ trợ được liệt kê dưới đây:

    Gửi thông tin hệ thống
    Bật chức năng chụp bàn phím
    Bắt đầu/dừng chụp màn hình
    Sửa đổi độ phân giải màn hình
    Mô phỏng chuyển động và nhấp chuột của chuột
    Thực hiện các thao tác tập tin
    Tải lên/tải xuống tệp
    Liệt kê các cửa sổ và
    Tạo lớp phủ ngân hàng giả để thu thập thông tin đăng nhập và dữ liệu giao dịch

Phần thứ hai của chiến dịch là sử dụng tập lệnh Python, phiên bản nâng cao của PowerShell tiền nhiệm, để cho phép phân phối phần mềm độc hại đến mọi liên hệ thông qua phiên WhatsApp Web bằng công cụ tự động hóa trình duyệt Selenium.

Có bằng chứng "thuyết phục" cho thấy Water Saci có thể đã sử dụng mô hình ngôn ngữ lớn (LLM) hoặc công cụ dịch mã để chuyển tập lệnh truyền bá của họ từ PowerShell sang Python, xét đến những điểm tương đồng về mặt chức năng giữa hai phiên bản và việc đưa biểu tượng cảm xúc vào đầu ra của bảng điều khiển.

Trend Micro cho biết: "Chiến dịch Water Saci là ví dụ điển hình cho kỷ nguyên mới về các mối đe dọa mạng ở Brazil, nơi những kẻ tấn công lợi dụng lòng tin và phạm vi tiếp cận của các nền tảng nhắn tin phổ biến như WhatsApp để dàn dựng các chiến dịch phần mềm độc hại tự phát tán trên quy mô lớn".

"Bằng cách lợi dụng các kênh liên lạc quen thuộc và sử dụng kỹ thuật xã hội tiên tiến, kẻ tấn công có thể nhanh chóng xâm nhập nạn nhân, vượt qua các biện pháp phòng thủ truyền thống và duy trì lây nhiễm trojan ngân hàng dai dẳng. Chiến dịch này cho thấy các nền tảng hợp pháp có thể bị biến thành các phương tiện phát tán phần mềm độc hại mạnh mẽ và nhấn mạnh sự tinh vi ngày càng tăng của các hoạt động tội phạm mạng trong khu vực."

Brazil bị nhắm mục tiêu bởi phần mềm độc hại RelayNFC Android mới. Sự việc này xảy ra trong bối cảnh người dùng ngân hàng Brazil cũng đang bị nhắm mục tiêu bởi một phần mềm độc hại Android chưa được ghi nhận trước đây có tên RelayNFC, được thiết kế để thực hiện các cuộc tấn công chuyển tiếp Giao tiếp tầm gần ( NFC ) và đánh cắp dữ liệu thanh toán không tiếp xúc. Chiến dịch này đã diễn ra từ đầu tháng 11 năm 2025.

"RelayNFC triển khai một kênh chuyển tiếp APDU thời gian thực hoàn chỉnh, cho phép kẻ tấn công hoàn tất giao dịch như thể thẻ của nạn nhân đang hiện diện trực tiếp", Cyble cho biết trong một bài phân tích. "Phần mềm độc hại được xây dựng bằng React Native và mã bytecode Hermes, khiến việc phân tích tĩnh trở nên phức tạp và giúp tránh bị phát hiện."

Chủ yếu lây lan qua hình thức lừa đảo, cuộc tấn công này sử dụng các trang web tiếng Bồ Đào Nha giả mạo (ví dụ: "maisseguraca[.]site") để lừa người dùng cài đặt phần mềm độc hại với lý do bảo mật thẻ thanh toán. Mục tiêu cuối cùng của chiến dịch là thu thập thông tin thẻ của nạn nhân và chuyển cho kẻ tấn công, sau đó chúng có thể thực hiện các giao dịch gian lận bằng dữ liệu bị đánh cắp.

Giống như các dòng mã độc chuyển tiếp NFC khác như SuperCard X và PhantomCard, RelayNFC hoạt động như một đầu đọc được thiết kế để thu thập dữ liệu thẻ bằng cách hướng dẫn nạn nhân chạm thẻ thanh toán vào thiết bị. Sau khi dữ liệu thẻ được đọc, mã độc sẽ hiển thị thông báo yêu cầu nhập mã PIN 4 hoặc 6 chữ số. Thông tin thu thập được sau đó sẽ được gửi đến máy chủ của kẻ tấn công thông qua kết nối WebSocket.

"Khi kẻ tấn công khởi tạo một giao dịch từ thiết bị giả lập POS, máy chủ C&C sẽ gửi một tin nhắn được thiết kế đặc biệt, loại 'apdu', đến điện thoại bị nhiễm", Cyble cho biết. "Tin nhắn này chứa một ID yêu cầu duy nhất, một mã định danh phiên và lệnh APDU được mã hóa dưới dạng chuỗi thập lục phân."

"Khi nhận được hướng dẫn này, RelayNFC sẽ phân tích gói tin, trích xuất dữ liệu APDU và chuyển tiếp trực tiếp đến hệ thống NFC của thiết bị nạn nhân, hoạt động như một giao diện từ xa đến thẻ thanh toán vật lý."

Công ty an ninh mạng cho biết cuộc điều tra của họ cũng phát hiện ra một trang web lừa đảo riêng biệt ("test.ikotech[.]online") phân phối tệp APK có một phần triển khai của Host Card Emulation (HCE), cho thấy rằng những kẻ tấn công đang thử nghiệm các kỹ thuật chuyển tiếp NFC khác nhau.

Vì HCE cho phép thiết bị Android mô phỏng thẻ thanh toán, cơ chế này cho phép các tương tác thẻ của nạn nhân được truyền giữa thiết bị đầu cuối thanh toán (PoS) hợp pháp và thiết bị do kẻ tấn công kiểm soát, từ đó tạo điều kiện cho một cuộc tấn công chuyển tiếp NFC thời gian thực. Tính năng này được đánh giá là đang trong quá trình phát triển, vì tệp APK không đăng ký dịch vụ HCE trong tệp kê khai gói.

"Chiến dịch RelayNFC nhấn mạnh sự phát triển nhanh chóng của phần mềm độc hại chuyển tiếp NFC nhắm vào các hệ thống thanh toán, đặc biệt là ở Brazil", công ty cho biết. "Bằng cách kết hợp phát tán mã độc lừa đảo, mã hóa dựa trên React Native và chuyển tiếp APDU theo thời gian thực qua WebSockets, các tác nhân đe dọa đã tạo ra một cơ chế cực kỳ hiệu quả cho việc gian lận giao dịch EMV từ xa."