Nhóm tấn công mạng được biết đến với tên Water Saci đang tích cực phát triển các chiến thuật của mình, chuyển sang một chuỗi lây nhiễm phức tạp, nhiều lớp sử dụng các tệp HTML Application (HTA) và PDF để phát tán một loại worm triển khai mã độc ngân hàng qua WhatsApp trong các cuộc tấn công nhắm vào người dùng ở Brazil.
Làn sóng tấn công mới nhất được đặc trưng bởi việc những kẻ tấn công chuyển từ PowerShell sang một biến thể dựa trên Python, phát tán mã độc theo kiểu worm qua WhatsApp Web.
"Chuỗi tấn công đa định dạng mới của chúng và khả năng sử dụng trí tuệ nhân tạo (AI) để chuyển đổi các script phát tán từ PowerShell sang Python minh họa một phương pháp tiếp cận nhiều lớp đã giúp Water Saci vượt qua các biện pháp kiểm soát bảo mật thông thường, khai thác lòng tin của người dùng trên nhiều kênh và tăng tốc độ lây nhiễm," các nhà nghiên cứu của Trend Micro gồm Jeffrey Francis Bonaobra, Sarah Pearl Camiling, Joe Soares, Byron Gelera, Ian Kenefick, và Emmanuel Panopio cho biết.
Trong các cuộc tấn công này, người dùng nhận được tin nhắn từ các liên hệ đáng tin cậy trên WhatsApp, thúc giục họ tương tác với các tệp đính kèm PDF hoặc HTA độc hại để kích hoạt chuỗi lây nhiễm và cuối cùng thả một mã độc ngân hàng có khả năng thu thập dữ liệu nhạy cảm. Mồi nhử PDF hướng dẫn nạn nhân cập nhật Adobe Reader bằng cách nhấp vào một liên kết nhúng.
Người dùng nhận được tệp HTA bị lừa thực thi một Visual Basic Script ngay sau khi mở, sau đó script này chạy các lệnh PowerShell để lấy các payload giai đoạn tiếp theo từ một máy chủ từ xa, một trình cài đặt MSI cho trojan và một script Python chịu trách nhiệm phát tán mã độc qua WhatsApp Web.
"Biến thể mới được quan sát này cho phép khả năng tương thích trình duyệt rộng hơn, cấu trúc mã hướng đối tượng, xử lý lỗi nâng cao và tự động hóa việc phân phối mã độc qua WhatsApp Web nhanh hơn," Trend Micro cho biết. "Cùng với nhau, những thay đổi này giúp quá trình phát tán nhanh hơn, có khả năng phục hồi tốt hơn trước lỗi và dễ bảo trì hoặc mở rộng hơn."
Trình cài đặt MSI, về phần mình, đóng vai trò là kênh để phân phối mã độc ngân hàng bằng cách sử dụng một script AutoIt. Script này cũng chạy các kiểm tra để đảm bảo rằng chỉ có một phiên bản của trojan đang chạy tại bất kỳ thời điểm nào. Nó thực hiện điều này bằng cách xác minh sự hiện diện của một tệp đánh dấu có tên "executed.dat." Nếu tệp không tồn tại, script sẽ tạo tệp và thông báo cho một máy chủ do kẻ tấn công kiểm soát ("manoelimoveiscaioba[.]com").
Các tạo phẩm AutoIt khác được Trend Micro phát hiện cũng cho thấy việc xác minh xem ngôn ngữ hệ thống Windows có được đặt thành tiếng Bồ Đào Nha (Brazil) hay không, sau đó tiến hành quét hệ thống bị nhiễm để tìm hoạt động liên quan đến ngân hàng chỉ khi tiêu chí này được đáp ứng. Điều này bao gồm kiểm tra các thư mục liên quan đến các ứng dụng ngân hàng lớn của Brazil, các mô-đun bảo mật và chống gian lận, chẳng hạn như Bradesco, Warsaw, Topaz OFD, Sicoob và Itaú.
Điều đáng chú ý là các mã độc ngân hàng tập trung vào khu vực Mỹ Latinh (LATAM) như Casbaneiro (còn gọi là Metamorfo và Ponteiro) đã tích hợp các tính năng tương tự từ năm 2019. Hơn nữa, script phân tích lịch sử duyệt web Google Chrome của người dùng để tìm kiếm các lượt truy cập vào các trang web ngân hàng, đặc biệt là một danh sách được mã hóa cứng bao gồm Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi và Bradesco.
Script sau đó tiến hành một bước trinh sát quan trọng khác liên quan đến việc kiểm tra phần mềm diệt virus và bảo mật đã cài đặt, cũng như thu thập siêu dữ liệu hệ thống chi tiết. Chức năng chính của mã độc là giám sát các cửa sổ đang mở và trích xuất tiêu đề cửa sổ của chúng để so sánh với danh sách các ngân hàng, nền tảng thanh toán, sàn giao dịch và ví tiền điện tử.
Nếu bất kỳ cửa sổ nào trong số này chứa các từ khóa liên quan đến các thực thể được nhắm mục tiêu, script sẽ tìm kiếm một tệp TDA được thả bởi trình cài đặt và giải mã, sau đó tiêm vào một tiến trình "svchost.exe" bị làm rỗng, sau đó trình nạp sẽ tìm kiếm một tệp DMP bổ sung chứa mã độc ngân hàng.
"Nếu có tệp TDA, script AutoIt sẽ giải mã và tải nó dưới dạng PE loader trung gian (Giai đoạn 2) vào bộ nhớ," Trend Micro giải thích. "Tuy nhiên, nếu chỉ tìm thấy tệp DMP (không có TDA), script AutoIt sẽ bỏ qua hoàn toàn trình nạp trung gian và tải trực tiếp mã độc ngân hàng vào bộ nhớ tiến trình AutoIt, bỏ qua bước làm rỗng tiến trình và chạy dưới dạng lây nhiễm hai giai đoạn đơn giản hơn."
Khả năng duy trì được đạt được bằng cách liên tục theo dõi tiến trình "svchost.exe" mới được tạo. Nếu tiến trình bị chấm dứt, mã độc sẽ bắt đầu lại từ đầu và chờ để tiêm lại payload vào lần tiếp theo nạn nhân mở cửa sổ trình duyệt cho một dịch vụ tài chính mà Water Saci nhắm mục tiêu.
Các cuộc tấn công nổi bật với một sự thay đổi chiến thuật lớn. Mã độc ngân hàng được triển khai không phải là Maverick, mà là một mã độc có sự liên tục về cấu trúc và hành vi với Casbaneiro. Đánh giá này dựa trên cơ chế phân phối và loader dựa trên AutoIt được sử dụng, cũng như cơ chế giám sát tiêu đề cửa sổ, duy trì thông qua Registry và cơ chế command-and-control (C2) dự phòng dựa trên IMAP.
Một khi được khởi chạy, trojan thực hiện các kiểm tra chống ảo hóa "hung hãn" để tránh phân tích và phát hiện, đồng thời thu thập thông tin máy chủ thông qua các truy vấn Windows Management Instrumentation (WMI). Nó thực hiện các sửa đổi Registry để thiết lập duy trì và thiết lập liên lạc với máy chủ C2 ("serverseistemasatu[.]com") để gửi các chi tiết đã thu thập và nhận các lệnh backdoor cấp quyền kiểm soát từ xa đối với hệ thống bị nhiễm.
Ngoài việc quét tiêu đề của các cửa sổ đang hoạt động để xác định xem người dùng có đang tương tác với các nền tảng ngân hàng hoặc tiền điện tử hay không, trojan còn buộc đóng một số trình duyệt để buộc nạn nhân mở lại các trang web ngân hàng trong "điều kiện do kẻ tấn công kiểm soát." Một số tính năng được hỗ trợ của trojan được liệt kê dưới đây -
- Gửi thông tin hệ thống
- Bật chụp bàn phím
- Bắt đầu/dừng chụp màn hình
- Sửa đổi độ phân giải màn hình
- Mô phỏng chuyển động và nhấp chuột
- Thực hiện các thao tác tệp
- Tải lên/tải xuống tệp
- Liệt kê các cửa sổ, và
- Tạo các lớp phủ ngân hàng giả mạo để thu thập thông tin đăng nhập và dữ liệu giao dịch
Khía cạnh thứ hai của chiến dịch là việc sử dụng một script Python, một phiên bản nâng cao của phiên bản PowerShell trước đó, để cho phép phân phối mã độc cho mọi liên hệ thông qua các phiên WhatsApp Web bằng công cụ tự động hóa trình duyệt Selenium.
Có bằng chứng "thuyết phục" cho thấy Water Saci có thể đã sử dụng một mô hình ngôn ngữ lớn (LLMs) hoặc công cụ dịch mã để chuyển đổi script phát tán của chúng từ PowerShell sang Python, dựa trên sự tương đồng về chức năng giữa hai phiên bản và việc đưa các biểu tượng cảm xúc vào đầu ra console.
"Chiến dịch Water Saci minh họa một kỷ nguyên mới của các mối đe dọa mạng ở Brazil, nơi những kẻ tấn công khai thác lòng tin và phạm vi tiếp cận của các nền tảng nhắn tin phổ biến như WhatsApp để dàn dựng các chiến dịch mã độc tự lan truyền quy mô lớn," Trend Micro cho biết.
"Bằng cách vũ khí hóa các kênh liên lạc quen thuộc và sử dụng kỹ thuật social engineering tiên tiến, các tác nhân đe dọa có thể nhanh chóng xâm phạm nạn nhân, vượt qua các biện pháp phòng thủ truyền thống và duy trì các lây nhiễm mã độc ngân hàng dai dẳng. Chiến dịch này cho thấy các nền tảng hợp pháp có thể được biến thành các vector mạnh mẽ để phân phối mã độc và nhấn mạnh sự tinh vi ngày càng tăng của các hoạt động tội phạm mạng trong khu vực."
Brazil Bị Nhắm Mục tiêu bởi Mã độc Android RelayNFC Mới
Sự phát triển này diễn ra khi người dùng ngân hàng Brazil cũng đang bị nhắm mục tiêu bởi một mã độc Android chưa được ghi nhận trước đây có tên RelayNFC, được thiết kế để thực hiện các cuộc tấn công chuyển tiếp Near-Field Communication (NFC) và lấy cắp dữ liệu thanh toán không tiếp xúc. Chiến dịch đã diễn ra từ đầu tháng 11 năm 2025.
"RelayNFC triển khai một kênh chuyển tiếp APDU thời gian thực hoàn chỉnh, cho phép những kẻ tấn công hoàn tất các giao dịch như thể thẻ của nạn nhân có mặt vật lý," Cyble cho biết trong một phân tích. "Mã độc được xây dựng bằng React Native và Hermes bytecode, điều này làm phức tạp phân tích tĩnh và giúp tránh bị phát hiện."
Chủ yếu lây lan qua phishing, cuộc tấn công sử dụng các trang web giả mạo tiếng Bồ Đào Nha (ví dụ: "maisseguraca[.]site") để lừa người dùng cài đặt mã độc dưới chiêu bài bảo mật thẻ thanh toán của họ. Mục tiêu cuối cùng của chiến dịch là thu thập chi tiết thẻ của nạn nhân và chuyển tiếp chúng cho những kẻ tấn công, những kẻ sau đó có thể thực hiện các giao dịch gian lận bằng dữ liệu bị đánh cắp.
Giống như các họ mã độc chuyển tiếp NFC khác như SuperCard X và PhantomCard, RelayNFC hoạt động như một trình đọc được thiết kế để thu thập dữ liệu thẻ bằng cách hướng dẫn nạn nhân chạm thẻ thanh toán của họ vào thiết bị. Sau khi dữ liệu thẻ được đọc, mã độc hiển thị một thông báo nhắc họ nhập PIN 4 hoặc 6 chữ số. Thông tin đã thu thập sau đó được gửi đến máy chủ của kẻ tấn công thông qua kết nối WebSocket.
"Khi kẻ tấn công bắt đầu một giao dịch từ thiết bị POS-emulator của chúng, máy chủ C&C sẽ gửi một tin nhắn được tạo đặc biệt thuộc loại 'apdu' đến điện thoại bị nhiễm," Cyble cho biết. "Tin nhắn này chứa một ID yêu cầu duy nhất, một định danh phiên và lệnh APDU được mã hóa dưới dạng chuỗi thập lục phân."
"Khi nhận được hướng dẫn này, RelayNFC phân tích gói, trích xuất dữ liệu APDU và chuyển tiếp trực tiếp đến hệ thống con NFC của thiết bị nạn nhân, đóng vai trò là giao diện từ xa cho thẻ thanh toán vật lý."
Công ty an ninh mạng cho biết cuộc điều tra của họ cũng đã phát hiện một trang web phishing riêng biệt ("test.ikotech[.]online") phân phối một tệp APK với việc triển khai một phần Host Card Emulation (HCE), cho thấy các tác nhân đe dọa đang thử nghiệm các kỹ thuật chuyển tiếp NFC khác nhau.
Vì HCE cho phép thiết bị Android mô phỏng thẻ thanh toán, cơ chế này cho phép các tương tác thẻ của nạn nhân được truyền giữa thiết bị đầu cuối thanh toán tại điểm bán hàng (PoS) hợp pháp và thiết bị do kẻ tấn công kiểm soát, từ đó tạo điều kiện cho một cuộc tấn công chuyển tiếp NFC thời gian thực. Tính năng này được đánh giá là đang trong quá trình phát triển, vì tệp APK không đăng ký dịch vụ HCE trong tệp manifest của gói.
"Chiến dịch RelayNFC nêu bật sự phát triển nhanh chóng của mã độc chuyển tiếp NFC nhắm mục tiêu vào các hệ thống thanh toán, đặc biệt là ở Brazil," công ty cho biết. "Bằng cách kết hợp phân phối dựa trên phishing, mã hóa dựa trên React Native và chuyển tiếp APDU thời gian thực qua WebSockets, các tác nhân đe dọa đã tạo ra một cơ chế rất hiệu quả để gian lận giao dịch EMV từ xa."
