Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
L'autore della minaccia noto come Water Saci sta evolvendo attivamente le sue tattiche, passando a una catena di infezione sofisticata e altamente stratificata che utilizza file HTML Application (HTA) e PDF per propagare tramite WhatsApp un worm che distribuisce un trojan bancario in attacchi rivolti agli utenti in Brasile.
L'ultima ondata è caratterizzata dal passaggio degli aggressori da PowerShell a una variante basata su Python che diffonde il malware in modo simile a un worm su WhatsApp Web.
"La loro nuova catena di attacco multiformato e il possibile utilizzo dell'intelligenza artificiale (IA) per convertire gli script di propagazione da PowerShell a Python esemplificano un approccio a più livelli che ha consentito a Water Saci di aggirare i controlli di sicurezza convenzionali, sfruttare la fiducia degli utenti su più canali e aumentare i tassi di infezione", hanno affermato i ricercatori di Trend Micro Jeffrey Francis Bonaobra, Sarah Pearl Camiling, Joe Soares, Byron Gelera, Ian Kenefick ed Emmanuel Panopio.
In questi attacchi, gli utenti ricevono messaggi da contatti fidati su WhatsApp, che li spingono a interagire con allegati PDF o HTA dannosi, attivando così la catena di infezione e, infine, rilasciando un trojan bancario in grado di raccogliere dati sensibili. L'esca PDF invita le vittime ad aggiornare Adobe Reader cliccando su un link incorporato.
Gli utenti che ricevono file HTA vengono indotti con l'inganno a eseguire uno script Visual Basic subito dopo l'apertura, che poi esegue comandi PowerShell per recuperare i payload di fase successiva da un server remoto, un programma di installazione MSI per il trojan e uno script Python responsabile della diffusione del malware tramite WhatsApp Web.
"Questa variante recentemente osservata consente una maggiore compatibilità con i browser, una struttura del codice orientata agli oggetti, una gestione avanzata degli errori e una più rapida automazione della distribuzione del malware tramite WhatsApp Web", ha affermato Trend Micro. "Insieme, queste modifiche rendono la propagazione più rapida, più resistente ai guasti e più facile da gestire o estendere."
Il programma di installazione MSI, da parte sua, funge da canale per la distribuzione del trojan bancario tramite uno script AutoIt. Lo script esegue anche controlli per garantire che sia in esecuzione una sola istanza del trojan in un dato momento. A tale scopo, verifica la presenza di un file marcatore denominato "executed.dat". Se non esiste, lo script crea il file e lo invia a un server controllato dall'aggressore ("manoelimoveiscaioba[.]com").
Sono stati inoltre scoperti altri artefatti di AutoIt che verificano se la lingua di sistema di Windows è impostata su portoghese (Brasile), procedendo poi alla scansione del sistema infetto per attività bancarie solo se questo criterio viene soddisfatto. Ciò include la verifica delle cartelle relative alle principali applicazioni bancarie brasiliane, ai moduli di sicurezza e anti-frode, come Bradesco, Warsaw, Topaz OFD, Sicoob e Itaú.
Vale la pena notare che i trojan bancari focalizzati sull'America Latina (LATAM) come Casbaneiro (noto anche come Metamorfo e Ponteiro) hanno incorporato funzionalità simili già nel 2019. Inoltre, lo script analizza la cronologia di navigazione di Google Chrome dell'utente per cercare le visite ai siti web bancari, in particolare un elenco hard-coded comprendente Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi e Bradesco.
Lo script procede quindi con un'altra fase critica di ricognizione che prevede la verifica della presenza di antivirus e software di sicurezza installati, nonché la raccolta di metadati di sistema dettagliati. La funzionalità principale del malware è monitorare le finestre aperte ed estrarne i titoli per confrontarli con un elenco di banche, piattaforme di pagamento, exchange e wallet di criptovalute.
Se una qualsiasi di queste finestre contiene parole chiave correlate alle entità prese di mira, lo script cerca un file TDA rilasciato dal programma di installazione, lo decrittografa e lo inietta in un processo "svchost.exe" svuotato, dopodiché il caricatore cerca un ulteriore file DMP contenente il trojan bancario.
"Se è presente un file TDA, lo script AutoIt lo decrittografa e lo carica in memoria come caricatore PE intermedio (Fase 2)", ha spiegato Trend Micro. "Tuttavia, se viene trovato solo un file DMP (nessun TDA presente), lo script AutoIt bypassa completamente il caricatore intermedio e carica il trojan bancario direttamente nella memoria del processo AutoIt, saltando la fase di svuotamento del processo ed eseguendo un'infezione più semplice in due fasi."
La persistenza viene ottenuta monitorando costantemente il processo "svchost.exe" appena generato. Se il processo viene interrotto, il malware riparte da zero e attende di reiniettare il payload la prossima volta che la vittima apre una finestra del browser per un servizio finanziario preso di mira da Water Saci.
Gli attacchi si distinguono per un importante cambiamento tattico. Il trojan bancario implementato non è Maverick, ma piuttosto un malware che mostra continuità strutturale e comportamentale con Casbaneiro. Questa valutazione si basa sul meccanismo di distribuzione e caricamento basato su AutoIt impiegato, nonché sul monitoraggio del titolo delle finestre, sulla persistenza basata sul Registro di sistema e sul meccanismo di comando e controllo di fallback (C2 o C&C) basato su IMAP.
Una volta avviato, il trojan esegue controlli anti-virtualizzazione "aggressivi" per eludere l'analisi e il rilevamento, e raccoglie informazioni sull'host tramite query WMI (Windows Management Instrumentation). Apporta modifiche al Registro di sistema per impostare la persistenza e stabilisce un contatto con un server C2 ("serverseistemasatu[.]com") per inviare i dettagli raccolti e ricevere comandi backdoor che garantiscono il controllo remoto del sistema infetto.
Oltre a scansionare i titoli delle finestre attive per identificare se l'utente sta interagendo con piattaforme bancarie o di criptovaluta, il trojan chiude forzatamente diversi browser per costringere le vittime a riaprire i siti bancari in "condizioni controllate dall'aggressore". Di seguito sono elencate alcune delle funzionalità supportate dal trojan:
Il secondo aspetto della campagna è l'utilizzo di uno script Python, una versione migliorata del suo predecessore PowerShell, per consentire la distribuzione di malware a ogni contatto tramite sessioni Web di WhatsApp utilizzando lo strumento di automazione del browser Selenium.
Esistono prove "convincenti" che suggeriscono che Water Saci potrebbe aver utilizzato un modello di linguaggio di grandi dimensioni (LLM) o uno strumento di traduzione del codice per trasferire il proprio script di propagazione da PowerShell a Python, date le somiglianze funzionali tra le due versioni e l'inclusione di emoji negli output della console.
"La campagna Water Saci esemplifica una nuova era di minacce informatiche in Brasile, dove gli aggressori sfruttano la fiducia e la portata di piattaforme di messaggistica popolari come WhatsApp per orchestrare campagne malware su larga scala e auto-propaganti", ha affermato Trend Micro.
"Trasformando in armi i canali di comunicazione più noti e impiegando tecniche avanzate di ingegneria sociale, gli autori delle minacce sono in grado di compromettere rapidamente le vittime, aggirare le difese tradizionali e sostenere infezioni persistenti da trojan bancari. Questa campagna dimostra come le piattaforme legittime possano trasformarsi in potenti vettori per la diffusione di malware e sottolinea la crescente sofisticatezza delle operazioni dei criminali informatici nella regione."
Il Brasile è preso di mira dal nuovo malware RelayNFC per Android
Questo sviluppo arriva mentre gli utenti bancari brasiliani sono presi di mira anche da un malware Android precedentemente non documentato, denominato RelayNFC, progettato per eseguire attacchi di tipo "Near-Field Communication" (NFC) e sottrarre dati di pagamento contactless. La campagna è in corso dall'inizio di novembre 2025.
"RelayNFC implementa un canale di relay APDU completamente in tempo reale, consentendo agli aggressori di completare le transazioni come se la carta della vittima fosse fisicamente presente", ha affermato Cyble in un'analisi. "Il malware è sviluppato utilizzando React Native e il bytecode Hermes, il che complica l'analisi statica e contribuisce a eludere il rilevamento."
Diffuso principalmente tramite phishing, l'attacco sfrutta siti esca in lingua portoghese (ad esempio, "maisseguraca[.]site") per indurre gli utenti a installare il malware con il pretesto di proteggere le proprie carte di pagamento. L'obiettivo finale della campagna è acquisire i dati della carta della vittima e trasmetterli agli aggressori, che possono quindi eseguire transazioni fraudolente utilizzando i dati rubati.
Come altre famiglie di malware relay NFC come SuperCard X e PhantomCard, RelayNFC funziona come un lettore progettato per raccogliere i dati della carta chiedendo alla vittima di avvicinare la propria carta di pagamento al dispositivo. Una volta letti i dati della carta, il malware visualizza un messaggio che richiede di inserire il PIN a 4 o 6 cifre. Le informazioni acquisite vengono quindi inviate al server dell'aggressore tramite una connessione WebSocket.
"Quando l'aggressore avvia una transazione dal proprio dispositivo emulatore POS, il server C&C invia un messaggio appositamente predisposto di tipo 'apdu' al telefono infetto", ha spiegato Cyble. "Questo messaggio contiene un ID di richiesta univoco, un identificatore di sessione e il comando APDU codificato come stringa esadecimale."
"Dopo aver ricevuto questa istruzione, RelayNFC analizza il pacchetto, estrae i dati APDU e li inoltra direttamente al sottosistema NFC del dispositivo della vittima, agendo di fatto come un'interfaccia remota per la carta di pagamento fisica."
La società di sicurezza informatica ha affermato che la sua indagine ha anche scoperto un sito di phishing separato ("test.ikotech[.]online") che distribuisce un file APK con un'implementazione parziale di Host Card Emulation (HCE), indicando che gli autori della minaccia stanno sperimentando diverse tecniche di relay NFC.
Poiché HCE consente a un dispositivo Android di emulare una carta di pagamento, il meccanismo consente la trasmissione delle interazioni con la carta di una vittima tra un terminale di pagamento (PoS) legittimo e un dispositivo controllato dall'aggressore, facilitando così un attacco relay NFC in tempo reale. Si ritiene che la funzionalità sia in fase di sviluppo, poiché il file APK non registra il servizio HCE nel file manifest del pacchetto.
"La campagna RelayNFC evidenzia la rapida evoluzione del malware relay NFC che prende di mira i sistemi di pagamento, in particolare in Brasile", ha affermato l'azienda. "Combinando la distribuzione basata sul phishing, l'offuscamento basato su React Native e il relaying APDU in tempo reale tramite WebSocket, gli autori della minaccia hanno creato un meccanismo altamente efficace per le frodi sulle transazioni EMV remote".
Seguici anche su:
- 📖 eBook Italiano
- 🌎 eBook English version
- 🎥 YouTube