De bedreigingsacteur bekend als Waterzak is zijn tactiek actief aan het ontwikkelen en schakelt over naar een geavanceerde, zeer gelaagde infectieketen die gebruik maakt van HTML Application (HTA)-bestanden en PDF’s om een worm te verspreiden die een banktrojan via WhatsApp inzet bij aanvallen gericht op gebruikers in Brazilië.
De nieuwste golf wordt gekenmerkt doordat de aanvallers overstappen van PowerShell naar een op Python gebaseerde variant die de malware op een wormachtige manier via WhatsApp Web verspreidt.
“Hun nieuwe aanvalsketen in meerdere formaten en het mogelijke gebruik van kunstmatige intelligentie (AI) om propagatiescripts van PowerShell naar Python te converteren, illustreren een gelaagde aanpak die Water Saci in staat heeft gesteld conventionele beveiligingscontroles te omzeilen, het vertrouwen van gebruikers via meerdere kanalen te exploiteren en hun infectiepercentages op te voeren”, aldus Trend Micro-onderzoekers Jeffrey Francis Bonaobra, Sarah Pearl Camiling, Joe Soares, Byron Gelera, Ian Kenefick en Emmanuel Panopio.
Bij deze aanvallen ontvangen gebruikers berichten van vertrouwde contacten op WhatsApp, waarin ze worden aangespoord om te communiceren met kwaadaardige PDF- of HTA-bijlagen en de infectieketen te activeren en uiteindelijk een banktrojan te laten vallen die gevoelige gegevens kan verzamelen. Het pdf-lokmiddel instrueert slachtoffers om Adobe Reader bij te werken door op een ingesloten link te klikken.
Gebruikers die HTA-bestanden ontvangen, worden misleid om onmiddellijk bij het openen een Visual Basic Script uit te voeren, dat vervolgens PowerShell-opdrachten uitvoert om de volgende fase van de payloads op te halen van een externe server, een MSI-installatieprogramma voor de trojan en een Python-script dat verantwoordelijk is voor de verspreiding van de malware via WhatsApp Web.
“Deze nieuw waargenomen variant zorgt voor een bredere browsercompatibiliteit, objectgeoriënteerde codestructuur, verbeterde foutafhandeling en snellere automatisering van de levering van malware via WhatsApp Web”, aldus Trend Micro. “Samen zorgen deze veranderingen ervoor dat de verspreiding sneller gaat, beter bestand is tegen mislukkingen en gemakkelijker te onderhouden of uit te breiden is.”
Het MSI-installatieprogramma fungeert op zijn beurt als kanaal voor het leveren van de banktrojan met behulp van een AutoIt-script. Het script voert ook controles uit om ervoor te zorgen dat er op een bepaald moment slechts één exemplaar van de trojan actief is. Dit wordt bereikt door de aanwezigheid van een markerbestand met de naam “executed.dat” te verifiëren. Als het niet bestaat, maakt het script het bestand en waarschuwt het een door de aanvaller bestuurde server (“manoelimoveiscaioba(.)com”).
Andere AutoIt-artefacten die door Trend Micro zijn ontdekt, verifiëren ook of de Windows-systeemtaal is ingesteld op Portugees (Brazilië), waarna het geïnfecteerde systeem alleen wordt gescand op bankgerelateerde activiteiten als aan dit criterium wordt voldaan. Dit omvat het controleren op mappen die verband houden met belangrijke Braziliaanse bankapplicaties, beveiliging en fraudebestrijdingsmodules, zoals Bradesco, Warschau, Topaz OFD, Sicoob en Itaú.
Het is vermeldenswaard dat op Latijns-Amerika (LATAM) gerichte banktrojans zoals Casbaneiro (ook bekend als Metamorfo en Ponteiro) al in 2019 vergelijkbare functies hebben ingebouwd. Bovendien analyseert het script de browsegeschiedenis van Google Chrome van de gebruiker om bezoeken aan bankwebsites te doorzoeken, met name een hardgecodeerde lijst met Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi en Bradesco.
Het script gaat vervolgens verder met een andere cruciale verkenningsstap, waarbij wordt gecontroleerd op geïnstalleerde antivirus- en beveiligingssoftware, evenals het verzamelen van gedetailleerde systeemmetagegevens. De belangrijkste functionaliteit van de malware is het monitoren van geopende vensters en het extraheren van de venstertitels om ze te vergelijken met een lijst met banken, betalingsplatforms, beurzen en cryptocurrency-portefeuilles.
Als een van deze vensters trefwoorden bevat die verband houden met gerichte entiteiten, zoekt het script naar een TDA-bestand dat door het installatieprogramma is geplaatst, decodeert het en injecteert het in een uitgehold “svchost.exe”-proces, waarna de lader zoekt naar een extra DMP-bestand dat de banktrojan bevat.
“Als er een TDA-bestand aanwezig is, decodeert het AutoIt-script het en laadt het als een tussenliggende PE-lader (fase 2) in het geheugen”, legt Trend Micro uit. “Als er echter alleen een DMP-bestand wordt gevonden (geen TDA aanwezig), omzeilt het AutoIt-script de tussenliggende lader volledig en laadt de banking trojan rechtstreeks in het AutoIt-procesgeheugen, waarbij de procesuithollingsstap wordt overgeslagen en wordt uitgevoerd als een eenvoudigere tweefasige infectie.”
Doorzettingsvermogen wordt bereikt door voortdurend het nieuw voortgebrachte proces “svchost.exe” in de gaten te houden. Als het proces wordt beëindigd, begint de malware opnieuw en wacht met het opnieuw injecteren van de lading de volgende keer dat het slachtoffer een browservenster opent voor een financiële dienst die het doelwit is van Water Saci.
De aanvallen vallen op door een grote tactische verschuiving. De gebruikte banktrojan is niet Maverick, maar eerder malware die structurele en gedragsmatige continuïteit vertoont met Casbaneiro. Deze beoordeling is gebaseerd op het gebruikte AutoIt-gebaseerde leverings- en laadmechanisme, evenals op de venstertitelbewaking, op het register gebaseerde persistentie en op IMAP gebaseerde fallback command-and-control (C2)-mechanisme.
Eenmaal gelanceerd voert de trojan “agressieve” antivirtualisatiecontroles uit om analyse en detectie te omzeilen, en verzamelt hij hostinformatie via Windows Management Instrumentation (WMI) -query’s. Het brengt wijzigingen in het register aan om persistentie in te stellen en brengt contact tot stand met een C2-server (“serverseistemasatu(.)com”) om de verzamelde gegevens te verzenden en achterdeuropdrachten te ontvangen die afstandsbediening over het geïnfecteerde systeem mogelijk maken.
Naast het scannen van de titels van actieve vensters om te identificeren of de gebruiker interactie heeft met bank- of cryptocurrency-platforms, beëindigt de trojan met geweld verschillende browsers om slachtoffers te dwingen banksites te heropenen onder ‘door aanvallers gecontroleerde omstandigheden’. Enkele van de ondersteunde functies van de trojan worden hieronder vermeld:
- Systeeminformatie verzenden
- Schakel toetsenbordopname in
- Schermopname starten/stoppen
- Wijzig de schermresolutie
- Simuleer muisbewegingen en klikken
- Voer bestandsbewerkingen uit
- Bestanden uploaden/downloaden
- Vensters opsommen, en
- Creëer valse bankoverlays om inloggegevens en transactiegegevens vast te leggen
Het tweede aspect van de campagne is het gebruik van een Python-script, een verbeterde versie van zijn PowerShell-voorganger, om de levering van malware aan elk contact mogelijk te maken via WhatsApp-websessies met behulp van de Selenium-browserautomatiseringstool.
Er is ‘overtuigend’ bewijs dat suggereert dat Water Saci mogelijk een groot taalmodel (LLM’s) of codevertaaltool heeft gebruikt om hun propagatiescript van PowerShell naar Python over te zetten, gezien de functionele overeenkomsten tussen de twee versies en de opname van emoji’s in console-uitvoer.
“De Water Saci-campagne is een voorbeeld van een nieuw tijdperk van cyberdreigingen in Brazilië, waarin aanvallers het vertrouwen en het bereik van populaire berichtenplatforms zoals WhatsApp misbruiken om grootschalige, zichzelf verspreidende malwarecampagnes te orkestreren”, aldus Trend Micro.
“Door bekende communicatiekanalen te bewapenen en geavanceerde social engineering in te zetten, kunnen bedreigingsactoren snel slachtoffers compromitteren, traditionele verdedigingsmechanismen omzeilen en hardnekkige banktrojan-infecties in stand houden. Deze campagne laat zien hoe legitieme platforms kunnen worden getransformeerd in krachtige vectoren voor de levering van malware en onderstreept de groeiende verfijning van cybercriminele operaties in de regio.”
Brazilië doelwit van nieuwe RelayNFC Android-malware
Deze ontwikkeling komt omdat Braziliaanse bankgebruikers ook het doelwit zijn van een voorheen ongedocumenteerde Android-malware genaamd RelayNFC, die is ontworpen om Near-Field Communication (NFC) relay-aanvallen uit te voeren en contactloze betalingsgegevens over te hevelen. De campagne loopt sinds begin november 2025.
“RelayNFC implementeert een volledig real-time APDU-relaiskanaal, waardoor aanvallers transacties kunnen voltooien alsof de kaart van het slachtoffer fysiek aanwezig is”, zei Cyble in een analyse. “De malware is gebouwd met behulp van React Native en Hermes bytecode, wat statische analyse bemoeilijkt en detectie helpt omzeilen.”
De aanval wordt voornamelijk verspreid via phishing en maakt gebruik van loksites in het Portugees (bijvoorbeeld “maisseguraca(.)site”) om gebruikers te misleiden om de malware te installeren onder het voorwendsel om hun betaalkaarten te beveiligen. Het einddoel van de campagne is om de kaartgegevens van het slachtoffer vast te leggen en deze door te geven aan aanvallers, die vervolgens frauduleuze transacties kunnen uitvoeren met behulp van de gestolen gegevens.
Net als andere NFC relay-malwarefamilies zoals SuperCard X en PhantomCard, werkt RelayNFC als een lezer die is ontworpen om de kaartgegevens te verzamelen door het slachtoffer te instrueren zijn betaalkaart op het apparaat te tikken. Zodra de kaartgegevens zijn gelezen, geeft de malware een bericht weer waarin hen wordt gevraagd hun 4- of 6-cijferige pincode in te voeren. De vastgelegde informatie wordt vervolgens via een WebSocket-verbinding naar de server van de aanvaller gestuurd.
“Wanneer de aanvaller een transactie start vanaf zijn POS-emulatorapparaat, stuurt de C&C-server een speciaal vervaardigd bericht van het type ‘apdu’ naar de geïnfecteerde telefoon”, aldus Cyble. “Dit bericht bevat een uniek verzoek-ID, een sessie-ID en de APDU-opdracht gecodeerd als een hexadecimale reeks.”
“Na ontvangst van deze instructie parseert RelayNFC het pakket, extraheert de APDU-gegevens en stuurt deze rechtstreeks door naar het NFC-subsysteem van het slachtofferapparaat, dat feitelijk fungeert als een externe interface voor de fysieke betaalkaart.”
Het cyberbeveiligingsbedrijf zei dat zijn onderzoek ook een afzonderlijke phishing-site (“test.ikotech(.)online”) aan het licht bracht die een APK-bestand verspreidt met een gedeeltelijke implementatie van Host Card Emulation (HCE), wat aangeeft dat de bedreigingsactoren experimenteren met verschillende NFC-relaytechnieken.
Omdat HCE een Android-apparaat toestaat een betaalkaart te emuleren, maakt het mechanisme het mogelijk dat de kaartinteracties van een slachtoffer worden verzonden tussen een legitieme Payment-of-Sale (PoS)-terminal en een door de aanvaller bestuurd apparaat, waardoor een realtime NFC-relay-aanval wordt vergemakkelijkt. Er wordt aangenomen dat de functie in ontwikkeling is, omdat het APK-bestand de HCE-service niet registreert in het pakketmanifestbestand.
“De RelayNFC-campagne benadrukt de snelle evolutie van NFC-relay-malware die zich richt op betalingssystemen, vooral in Brazilië”, aldus het bedrijf. “Door het combineren van door phishing gestuurde distributie, op React Native gebaseerde verduistering en real-time APDU-relaying via WebSockets, hebben de bedreigingsactoren een zeer effectief mechanisme gecreëerd voor EMV-transactiefraude op afstand.”
