In breve

• Utenti brasiliani presi di mira da malware avanzati diffusi tramite WhatsApp e siti di phishing.
• Nuova campagna di trojan bancari a comportamento “worm” sfrutta PDF, file HTA e automazione Python.
• Il malware RelayNFC consente il furto in tempo reale dei dati delle carte contactless tramite dispositivi Android infetti.
• Gli aggressori utilizzano l’intelligenza artificiale per rielaborare e migliorare gli script di propagazione.
• Le campagne sfruttano la fiducia degli utenti e la popolarità di WhatsApp e dei pagamenti mobili in Brasile.

Il nuovo volto del malware bancario in Brasile

Immagina una notifica WhatsApp che arriva a tarda notte - un amico fidato che condivide un PDF o un aggiornamento apparentemente urgente. In Brasile, migliaia di persone sono cadute in questa trappola familiare, solo per scoprire che la loro sicurezza bancaria era stata compromessa da una nuova generazione di cybercriminali armati di codice ingegnoso e tecniche di social engineering.

Il recente aumento degli attacchi è attribuito al gruppo di minaccia noto come Water Saci, la cui ultima campagna rappresenta un vero e proprio manuale di evoluzione tecnica e inganno. A differenza degli attacchi precedenti, che si basavano principalmente su script PowerShell, questa ondata impiega una catena di infezione multilivello: PDF e file HTML Application (HTA) malevoli vengono inviati tramite WhatsApp, inducendo gli utenti ad avviare script che installano silenziosamente un trojan bancario. Particolarmente allarmante è il comportamento da “worm” - il malware non si limita a infettare un solo dispositivo, ma si diffonde rapidamente ai contatti della vittima tramite WhatsApp Web, creando un effetto a cascata virale.

Come funziona l’attacco

L’infezione inizia in modo innocuo: un messaggio WhatsApp da un contatto conosciuto che invita ad aprire un allegato o ad aggiornare Adobe Reader. Una volta aperto, il file esegue uno script che scarica altro malware - un trojan bancario progettato per colpire istituti finanziari brasiliani. Gli aggressori hanno adattato il malware in modo che si attivi solo su sistemi con impostazioni in portoghese (Brasile), e spia tra le app bancarie installate, la cronologia del browser e monitora anche le finestre aperte alla ricerca di attività bancaria.

Il trojan non è solo un borseggiatore digitale; è una vera e propria spia. Può catturare i tasti digitati, fare screenshot, simulare movimenti del mouse e persino creare falsi overlay bancari per rubare le credenziali. La persistenza è garantita monitorando costantemente l’attività bancaria e reinfettando il sistema se l’utente tenta di rimuoverlo.

Ciò che distingue questa campagna è la sua agilità tecnica. I ricercatori hanno trovato prove che Water Saci ha utilizzato strumenti di intelligenza artificiale per convertire il codice di propagazione da PowerShell a Python, rendendo l’attacco più veloce e compatibile con diversi browser. Il trojan utilizza anche metodi avanzati per eludere il rilevamento, come il controllo di ambienti virtuali e la camuffatura delle comunicazioni con i server di comando e controllo.

RelayNFC: la frode nei pagamenti contactless diventa mobile

Come se i trojan bancari non bastassero, gli utenti brasiliani si trovano ora ad affrontare una nuova minaccia rivolta agli smartphone. RelayNFC, un malware Android scoperto di recente, consente agli aggressori di rubare in tempo reale i dati delle carte di pagamento contactless. Diffuso tramite siti di phishing che imitano servizi di sicurezza legittimi, RelayNFC induce gli utenti a installare un’app malevola. L’app chiede poi alla vittima di avvicinare la carta di pagamento al telefono e di inserire il PIN - consegnando di fatto tutto il necessario per transazioni fraudolente.

Utilizzando tecniche avanzate come la trasmissione in tempo reale dei dati della carta e l’offuscamento tramite codice React Native, RelayNFC può inviare le informazioni rubate agli aggressori, che possono così emulare la carta della vittima su un terminale POS ovunque nel mondo. Questo fa parte di una tendenza in crescita, mentre i criminali sperimentano nuovi modi per sfruttare la popolarità dei pagamenti mobili e della tecnologia NFC.

Un panorama di minacce sempre più ampio

L’economia digitale brasiliana, con la sua ampia adozione di WhatsApp e del mobile banking, è diventata un terreno di caccia privilegiato per i cybercriminali. Queste campagne ricordano attacchi passati come i trojan Casbaneiro e Metamorfo, ma con maggiore sofisticazione e automazione. Secondo Trend Micro e Cyble, la combinazione di social engineering, abuso delle piattaforme e innovazione tecnica segna una nuova era del cybercrimine - un’era in cui strumenti familiari diventano armi nelle mani degli aggressori.

Mentre i criminali sfruttano l’intelligenza artificiale e l’interconnessione delle app di messaggistica, non stanno solo violando dispositivi - stanno violando la fiducia stessa.

WIKICROOK

• Trojan Bancario: Un trojan bancario è un malware che prende di mira i dati finanziari rubando credenziali bancarie e informazioni personali, spesso imitando app affidabili.
• Attacco NFC Relay: Un attacco NFC relay consente ai criminali di ingannare i sistemi di pagamento contactless trasmettendo i segnali dal dispositivo della vittima, permettendo transazioni non autorizzate a distanza.
• Social Engineering: Il social engineering è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o concedere accessi non autorizzati ai sistemi.
• Script AutoIt: Uno script AutoIt automatizza attività su computer Windows. Sebbene utile per l’IT, può essere sfruttato dagli hacker per controllare sistemi infetti.
• Comando: Un comando è un’istruzione inviata a un dispositivo o software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.