Os cibercriminosos que visam usuários brasileiros intensificaram agressivamente suas táticas, lançando uma campanha altamente sofisticada chamada “Água Saci”.
Esta nova onda de ataques transforma o WhatsApp Web, uma plataforma em que milhões de pessoas confiam implicitamente, para distribuir trojans bancários e roubar dados financeiros confidenciais.
Ao comprometer contas de usuários, os invasores enviam mensagens convincentes a contatos confiáveis, criando um ciclo de infecção rápido e autopropagado que aproveita a engenharia social para contornar eficazmente as defesas de segurança tradicionais, impactando inúmeros indivíduos inocentes.
A cadeia de infecção normalmente começa quando os usuários recebem mensagens contendo anexos maliciosos, como arquivos ZIP, iscas de PDF disfarçadas de atualizações da Adobe ou arquivos HTA diretos seguindo padrões de nomenclatura específicos, como A-{random}.hta.
Uma mensagem do WhatsApp atraindo o usuário a abrir o arquivo ZIP (Fonte – Trend Micro)
Depois que a vítima abre esses arquivos, ela executa uma sequência complexa de ataque em vários estágios, envolvendo scripts Visual Basic e instaladores MSI.
Instalação do MSI levando à carga útil do trojan bancário (Fonte – Trend Micro)
Esse processo baixa furtivamente um trojan bancário e, ao mesmo tempo, implanta scripts de automação projetados para sequestrar a sessão do WhatsApp da vítima para propagação adicional, garantindo alcance máximo.
Cadeia de ataque (Fonte – Trend Micro)
Os analistas de segurança da Trend Micro identificaram que esta campanha marca uma mudança significativa no desenvolvimento de malware, utilizando inteligência artificial para acelerar suas capacidades.
Os invasores parecem ter usado Large Language Models (LLMs) para traduzir e otimizar seu código de propagação, fazendo a transição do PowerShell para uma infraestrutura mais robusta baseada em Python.
Mudança estratégica
Essa mudança estratégica aumenta significativamente a capacidade de espalhar malware em diferentes navegadores, incluindo Chrome, Edge e Firefox, tornando a detecção cada vez mais difícil para protocolos de segurança padrão e deixando os usuários vulneráveis.
Um componente crítico desta evolução técnica é o script whatsz.py, que substitui variantes anteriores do PowerShell.
A análise revela evidências convincentes de codificação assistida por IA, como cabeçalhos de script declarando explicitamente “Versão Python Convertido de PowerShell” e comentários como “versão otimizada com tratamento de erros”.
Arquivos de componentes baixados por instalar.bat e usados por whatsz.py (Fonte – Trend Micro)
Este script depende de arquivos componentes como chromedriver.exe para automatizar o processo de infecção, usando Selenium para injetar a biblioteca WA-JS, extrair listas de contatos e enviar arquivos maliciosos em massa para vítimas inocentes.
O código Python exibe uma estrutura sofisticada orientada a objetos com tratamento avançado de erros, recursos normalmente ausentes em portas manuais rápidas.
Classe principal de automação com definições de formatação para diferentes status (Fonte – Trend Micro)
Por exemplo, a classe de automação principal define uma formatação clara para vários status, garantindo uma execução confiável.
Além disso, a saída do console inclui emojis coloridos, uma característica raramente vista em malware padrão, mas comum em bases de código geradas por IA.
Essa automação avançada permite que o malware opere de forma autônoma, pausando e retomando tarefas para se misturar ao tráfego normal da rede enquanto relata o progresso a um servidor de comando e controle, garantindo, em última análise, acesso persistente.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
