Brasilien hat sich als die „Banking-Malware-Hauptstadt der Welt” etabliert. Kriminelle dort entwickeln kontinuierlich neue Finanz-Trojaner, die es Analysten schwer machen, mit den Varianten Schritt zu halten. Die Gruppe Water Saci, auch unter dem Namen Augmented Marauder bekannt, steht im Zentrum dieser kriminellen Bewegung und führt derzeit mehrere koordinierte Kampagnen durch.
Die neueste Variante nutzt eine raffinierten Infektionskette über E-Mail-Phishing. Alle Opfer erhalten eine scheinbar offizielle Nachricht über eine ausstehende gerichtliche Vorladung. Wer auf diesen Köder hereinfällt, wird auf eine Webseite geleitet, von der aus eine manipulierte ZIP-Datei heruntergeladen wird. Auf jeder Stufe dieser Angriffskette verstecken sich Tricks zur Umgehung von Sicherheitsmechanismen.
Die an die Phishing-E-Mail angehängte Datei ist passwortgeschützt, was der Nachricht Legitimität verleiht und möglicherweise Secure Email Gateways (SEGs) täuscht. Der Dateiname wird für jeden Opfer individualisiert, um signaturbasierte Erkennungssysteme zu umgehen.
Am gefährlichsten ist jedoch die Selbstreplikation: Nach dem Herunterladen aktiviert sich das Skript Horabot, das Zugriff auf das E-Mail-Konto des Opfers erlangt. Es sammelt Kontakte, filtert sie und versendet automatisiert neue Phishing-Mails an potenzielle Ziele – mit jeweils neu passwortgeschützten Malware-Dateien. Diese Worm-Funktionalität hat mehrere Vorteile für die Kriminellen: Opfer erhalten verdächtige Mails von vertrauten Kontakten und klicken eher darauf. Gleichzeitig werden solche E-Mails seltener von Sicherheitslösungen gekennzeichnet. Zudem erschwert es, die Quelle des Angriffs zu identifizieren.
Ultimatives Ziel ist die Installation von Casbaneiro, einem klassischen Banking-Trojaner. Er aktiviert sich, wenn Opfer ihre Bank- oder Kryptowährungs-Konten besuchen. Zu den Zielen gehören große südamerikanische Banken wie Santander und Banco do Brasil sowie Plattformen wie Binance. Der Trojaner nutzt Overlay-Techniken, um legitime Login-Seiten nachzuahmen, und protokolliert Tastaturanschläge, um Zugangsdaten zu stehlen.
Banking-Trojaner mögen altmodisch wirken – moderne Cybersicherheitslösungen erkennen sie oft bereits in der E-Mail-Phase. Windows Defender etwa hat extensive Regelwerke gegen AutoIT-Executables, die Water Saci häufig nutzt. Dennoch führt die regelmäßige Weiterentwicklung dieser Angriffe dazu, dass die brasilianischen Kriminellen ihre Kampagnen etwa alle drei Monate neu auflegen. Ihre Persistenz und der Automatisierungsgrad deuten darauf hin, dass diese Form der Cyberkriminalität in Lateinamerika weiterhin florieren wird.