A campanha Water Saci direcionada aos usuários brasileiros aumentou significativamente, com os atores da ameaça demonstrando notável sofisticação técnica ao empregar inteligência artificial para aprimorar suas capacidades de propagação de malware.
Os pesquisadores de segurança identificado uma mudança crítica na metodologia de ataque do grupo: a transição de scripts baseados em PowerShell para variantes do Python.
Esta transformação foi acelerada através da utilização de grandes modelos de linguagem e ferramentas de conversão de código de IA.
A campanha emprega uma cadeia de ataque excepcionalmente complexa, projetada para escapar dos mecanismos convencionais de detecção.
As vítimas recebem mensagens aparentemente inócuas através do WhatsApp contendo vários formatos de arquivo, incluindo arquivos HTML Application (HTA), arquivos ZIP e documentos PDF, cada um servindo como ponto de entrada para uma sofisticada sequência de infecção.
A diversidade de vetores de ataque complica significativamente a análise e aumenta a probabilidade de um comprometimento bem-sucedido.
A infecção inicial normalmente começa quando os usuários executam arquivos HTA maliciosos baixados diretamente do WhatsApp Web.
Esses arquivos contêm scripts Visual Basic incorporados, protegidos por múltiplas camadas de ofuscação, projetados para escapar do software de segurança e da análise manual.
Uma vez desofuscados, os scripts iniciam contato com servidores de comando e controle para baixar instaladores MSI e componentes de automação que estabelecem trojans bancários em sistemas comprometidos.
Conversão de script com tecnologia de IA
Talvez o mais notável seja a evidência que sugere que os invasores aproveitaram grandes modelos de linguagem para converter sua rotina de propagação existente do PowerShell em uma implementação Python mais versátil.
O script inicia o interpretador AutoIt (DaXGkoD7.exe) para executar o script AutoIt compilado.
A variante Python, designada whatsz.py, mantém equivalência funcional com seu antecessor PowerShell, ao mesmo tempo que introduz melhorias substanciais em capacidade e alcance.
Exame do Código Python revela comentários explícitos afirmando que o script foi “convertido de PowerShell para Python com suporte para Chrome, Edge e Firefox”.
Uma função auxiliar traduz códigos de idioma em nomes legíveis como português (Portugal), inglês (EUA) ou espanhol (Espanha).
Além disso, o código inclui notas de otimização que sugerem o envolvimento da IA, como “enviar mensagem para um contato – versão otimizada com tratamento de erros” e “enviar mensagem para vários contatos ao mesmo tempo – super rápido!”
Essas anotações são atípicas de malware escrito manualmente e indicam fortemente o desenvolvimento assistido por IA.
A variante Python representa não apenas uma tradução direta, mas uma atualização operacional significativa.
A nova implementação adiciona estrutura de código orientada a objetos, tratamento aprimorado de erros, recursos de mensagens em lote e recursos de compatibilidade com vários navegadores que aceleram substancialmente a distribuição de malware e, ao mesmo tempo, melhoram a resiliência contra detecção e falhas.
A carga usa a mesma técnica baseada em IMAP documentada anteriormente em nossa análise recente da campanha Water Saci.
O script de automação aproveita o Selenium para manipular interfaces Web do WhatsApp, injetar bibliotecas JavaScript maliciosas, extrair listas de contatos e executar transmissão em massa de arquivos usando codificação Base64.
Esses recursos permitem que os agentes de ameaças propaguem malware rapidamente pelas redes das vítimas com intervenção manual mínima.
Sofisticação do Trojan Bancário
A carga útil final entregue através desta cadeia é um trojan bancário sofisticado que visa explicitamente instituições financeiras brasileiras e bolsas de criptomoedas.
O malware realiza reconhecimento abrangente, detectando aplicativos bancários instalados, analisando Navegador Chrome histórico para sites financeiros e monitoramento de software antivírus.
O uso extensivo de Python neste estágio permite que os invasores automatizem a propagação, simplifiquem a entrega de carga útil e aumentem a flexibilidade e a resiliência de suas operações maliciosas.
Ao identificar atividades de janelas relacionadas a serviços bancários, o trojan injeta sobreposições de roubo de credenciais e mantém acesso persistente por meio de técnicas de esvaziamento de processos.
A campanha Water Saci representa uma mudança de paradigma nas operações cibercriminosas, demonstrando como os atores das ameaças estão adotando tecnologias de IA para acelerar os ciclos de desenvolvimento e aumentar a eficácia operacional.
A integração da conversão de código assistida por IA, mecanismos de entrega em vários estágios e técnicas avançadas de persistência cria um cenário de ameaças formidável para usuários e organizações brasileiras.
Especialistas em segurança enfatizam a necessidade de implementar defesas em várias camadas, incluindo downloads automáticos desativados em aplicativos de mensagens, proteção avançada de endpoints e treinamento abrangente de conscientização do usuário.
À medida que os adversários continuam a inovar com capacidades melhoradas pela IA, as organizações devem manter uma monitorização vigilante e adaptar rapidamente as suas posturas defensivas em conformidade.
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.