Source: Trend Micro — Dans le contexte d’une vague d’attaques au Brésil exploitant WhatsApp, Trend Micro décrit une campagne Water Saci combinant ingénierie sociale, chaîne d’infection multi‑étapes et automatisation pour livrer un trojan bancaire.

La chaîne débute par des pièces jointes malveillantes envoyées depuis des contacts de confiance sur WhatsApp (ZIP, PDF, et surtout HTA déclenchant immédiatement un VBScript obfusqué). Le script crée un batch (C:\temp\instalar.bat) qui récupère un MSI contenant un chargeur AutoIt (DaXGkoD7.exe + Ons7rxGC.log). Le code vérifie parfois la langue Windows (0416, pt-BR), inventorie les dossiers/URL bancaires, détecte des antivirus, puis décrypte un payload via un RC4‑like custom (seed 1000) et décompresse avec LZNT1 (RtlDecompressFragment). Le trojan est injecté par process hollowing dans svchost.exe, avec persistance via Run et ré‑injections conditionnées à l’ouverture de fenêtres bancaires.

Le trojan présente des capacités avancées: anti‑VM (services VMware), profilage WMI, communication C2 HTTPS (serverseistemasatu.com), découverte secondaire de C2 par IMAP (boîte terra.com.br, sujet “meu”, extraction d’IP:), terminaison de navigateurs (Chrome/Edge/Firefox/Opera/NavegadorExclusivoBradesco), et un backdoor riche (contrôle écran/souris/clavier, gestion fichiers/commande, overlays bancaires, collecte et envoi d’identifiants). Il surveille les titres de fenêtres liées à de grandes banques brésiliennes et échanges crypto, déclenchant le déchiffrement et l’exécution du payload au bon moment.

Côté propagation, les opérateurs ont porté l’automatisation WhatsApp de PowerShell (tadeu.ps1) vers Python (whatsz.py), tout en téléchargeant Python 3.12.7, get-pip.py et chromedriver.exe. Le script Selenium injecte une librairie WA‑JS, extrait les contacts, envoie des fichiers (Base64), charge une configuration distante, gère pause/reprise et le reporting C2. Des indices (commentaires, style, sorties console « enrichies » ✨) suggèrent un usage d’IA/LLM pour accélérer la conversion et améliorer la robustesse (meilleure gestion d’erreurs, envois en lot, support Chrome/Edge/Firefox).

IoCs et TTPs principaux:

  • IoCs:
    • C2: hxxps://serverseistemasatu.com/data.php?recebe (User-Agent: DelphiApp)
    • Motif de téléchargement: A-{aléatoire}.hta via web.whatsapp[.]com
    • Fichiers MSI: DaXGkoD7.exe, Ons7rxGC.log, run.vbs, starter.bat, ucJDpQ.tda, fKmkzW.dmp
    • Registre: HKCU\Software\MyUniqueApp (UniqueSerial), HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\MeuApp (inicio=true)
    • Services anti‑VM: VGAuthService, vm3dservice, VMTools, vmvss
    • Processus tués: chrome.exe, firefox.exe, msedge.exe, NavegadorExclusivoBradesco.exe, Opera.exe
    • Chemins bancaires: C:\Program Files (x86)\scpbrad; C:\Program Files\Warsaw; C:\Program Files\Topaz OFD; C:\Sicoobnet; %AppData%\Local\Aplicativo Itau
    • URLs ciblées (ex.): www[.]santander[.]com[.]br; autoatendimento[.]bb[.]com[.]br; internetbanking[.]caixa[.]gov[.]br; www[.]sicredi[.]com[.]br; banco[.]bradesco
    • Découverte C2 secondaire: accès IMAP à une boîte terra.com.br (mail sujet “meu”, ligne « IP: »)
  • TTPs:
    • Initial access: pièces jointes WhatsApp (ZIP/PDF/HTA), VBScript obfusqué
    • Exécution/Chargement: MSI avec CustomAction VBScript, AutoIt loader, décryptage RC4‑like + LZNT1
    • Défense/Evasion: anti‑VM, détection AV, process hollowing vers svchost.exe, exécution en mémoire
    • Persistance: clé Run HKCU, surveillance/re‑injection à l’ouverture de fenêtres bancaires
    • Découverte/Collecte: WMI (AntiVirusProduct, Win32_*), historique Chrome, dossiers bancaires, inventaire sécurité
    • Command & Control: HTTPS POST, fallback IMAP pour mise à jour C2
    • Impact/Actions: fermeture navigateurs, overlays bancaires, commande à distance étendue
    • Propagation: Selenium sur WhatsApp Web, injection WA‑JS, envoi en masse, migration PowerShell→Python avec améliorations structurelles et fiabilité.

Il s’agit d’une analyse technique et de menace documentant une campagne bancaire au Brésil, visant à exposer la chaîne d’infection, les capacités du malware et les mécanismes de propagation via WhatsApp.

🧠 TTPs et IOCs détectés

TTP

[‘Initial Access: pièces jointes WhatsApp (ZIP/PDF/HTA), VBScript obfusqué’, ‘Execution: MSI avec CustomAction VBScript, AutoIt loader, décryptage RC4-like + LZNT1’, ‘Defense Evasion: anti-VM, détection AV, process hollowing vers svchost.exe, exécution en mémoire’, “Persistence: clé Run HKCU, surveillance/re-injection à l’ouverture de fenêtres bancaires”, ‘Discovery: WMI (AntiVirusProduct, Win32_*), historique Chrome, dossiers bancaires, inventaire sécurité’, ‘Command and Control: HTTPS POST, fallback IMAP pour mise à jour C2’, ‘Impact: fermeture navigateurs, overlays bancaires, commande à distance étendue’, ‘Propagation: Selenium sur WhatsApp Web, injection WA-JS, envoi en masse, migration PowerShell→Python avec améliorations structurelles et fiabilité’]

IOC

[‘C2: hxxps://serverseistemasatu.com/data.php?recebe’, ‘User-Agent: DelphiApp’, ‘Motif de téléchargement: A-{aléatoire}.hta via web.whatsapp[.]com’, ‘Fichiers MSI: DaXGkoD7.exe, Ons7rxGC.log, run.vbs, starter.bat, ucJDpQ.tda, fKmkzW.dmp’, ‘Registre: HKCU\Software\MyUniqueApp (UniqueSerial), HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\MeuApp (inicio=true)’, ‘Services anti-VM: VGAuthService, vm3dservice, VMTools, vmvss’, ‘Processus tués: chrome.exe, firefox.exe, msedge.exe, NavegadorExclusivoBradesco.exe, Opera.exe’, ‘Chemins bancaires: C:\Program Files (x86)\scpbrad; C:\Program Files\Warsaw; C:\Program Files\Topaz OFD; C:\Sicoobnet; %AppData%\Local\Aplicativo Itau’, ‘URLs ciblées: www[.]santander[.]com[.]br; autoatendimento[.]bb[.]com[.]br; internetbanking[.]caixa[.]gov[.]br; www[.]sicredi[.]com[.]br; banco[.]bradesco’, ‘Découverte C2 secondaire: accès IMAP à une boîte terra.com.br (mail sujet “meu”, ligne « IP: »)’]

🔗 Source originale : https://www.trendmicro.com/en_us/research/25/l/water-saci.html