«Посмотри, что я нашел». Почему файлы от друзей в мессенджере могут стоить вам всех сбережений

Новая волна атак Water Saci в Бразилии показывает, насколько быстро киберпреступники усложняют свою инфраструктуру и методы заражения. Специалисты Trend Micro зафиксировали многоступенчатую цепочку распространения, в которой злоумышленники комбинируют HTA-файлы, ZIP-архивы и поддельные PDF-документы, чтобы обойти простые сигнатурные защиты и запутать анализ. Кампания разворачивается через WhatsApp, куда жертвы получают сообщения якобы от знакомых, что повышает вероятность открытия вредоносных вложений и запуска цепочки инфицирования.

Ключевым техническим изменением стала миграция операторов Water Saci с PowerShell на Python. Новый вариант скрипта, использующий Selenium для автоматизации WhatsApp Web, оказался более гибким, поддерживает Chrome, Edge и Firefox, быстрее рассылает вредоносные файлы и включает расширенную обработку ошибок. По косвенным признакам специалисты допускают, что авторы могли использовать инструменты на базе ИИ для автоматического перевода и оптимизации кода: в скриптах встречаются характерные комментарии, улучшенные функции и необычно «дружелюбный» консольный вывод с эмодзи, не типичный для ручной разработки криминальных инструментов.

Первый этап заражения запускается после открытия HTA-файла: встроенный VBScript разворачивает на машине установщик MSI, который доставляет AutoIt-интерпретатор и зашифрованные полезные нагрузки. Далее сценарий проверяет язык системы — вредонос работает только на португальском (Бразилия), собирает информацию о банковских приложениях, истории браузера и наличии антивирусов, после чего расшифровывает и загружает банковский троян. Финальный этап скрывается в процессе svchost.exe — классическая техника hollowing обеспечивает незаметность и устойчивость к перезапускам.

Троян демонстрирует сходство с семейством Casbaneiro/Metamorfo: отслеживает заголовки окон с сайтами банков и криптобирж, завершает браузеры, собирает системную информацию и связывается с C&C, а также использует резервный канал через IMAP-почтовый ящик для получения актуального адреса управления. Встроенный набор команд превращает его в полноценный бэкдор: оператор может просматривать экран, управлять мышью и клавиатурой, передавать файлы, перезапускать систему, подменять банковские интерфейсы и перехватывать учётные данные.

Автоматизация распространения по WhatsApp остаётся центральной частью кампании. Python-скрипт whatsz.py скачивается вместе с пакетом Python и драйверами для браузеров, затем захватывает список контактов, отправляет вредоносные файлы в массовом режиме, подгружает удалённые конфигурации и передаёт отчёты оператору. Это позволяет Water Saci распространяться почти вирусно, используя доверие внутри социальных связей жертв.

По оценке Trend Micro, растущая сложность инструментов Water Saci и использование привычных коммуникационных платформ делают кампанию одной из наиболее опасных для бразильских пользователей и компаний. Специалисты рекомендуют отключать автозагрузку файлов в мессенджерах, ограничивать передачу документов в личных приложениях, усиливать обучение сотрудников и применять продвинутые средства защиты конечных точек, способные блокировать скриптовые атаки и признаки автоматизации.