文章总结： 巴西APT组织WaterSaci利用WhatsApp传播恶意文件并通过AI将PowerShell脚本转为Python增强攻击能力，专门窃取银行账户和加密钱包，还会自动群发恶意文件给通讯录联系人，建议关闭WhatsApp自动下载、限制脚本执行权限、分离网银和聊天环境以防范此类攻击。 综合评分： 75 文章分类： 威胁情报,恶意软件,社会工程学,银行安全,移动安全

巴西APT组织Water Saci整活新高度！用AI转代码+WhatsApp传毒，专偷银行账户还会自动群发

原创

紫队

AI紫队安全研究

2025年12月13日 11:59 广东

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

    家人们谁懂啊！巴西的Water Saci黑客团伙最近玩出了新花样：不仅把PowerShell脚本一键AI转成Python，还借着WhatsApp的熟人关系链疯狂传毒，专盯巴西人的银行账户和加密钱包，甚至还会自动给你通讯录里的亲戚朋友群发恶意文件，主打一个“一人中招，全家躺枪”！

一、WhatsApp里的“夺命文件”：ZIP/PDF/HTA全是坑

你以为WhatsApp里同事发的“报价清单.zip”、客户甩的“Adobe更新PDF”是正经文件？在Water Saci眼里，这都是给你电脑“投毒”的快递盒！

ZIP压缩包：伪装成商务文件，点开直接释放恶意程序，主打一个“职场人必中招”；

PDF钓鱼计：谎称“Adobe没更新打不开”，诱导你点进假官网下载“补丁”，实则装木马；

HTA终极杀招：最狠的是直接发.hta文件，这玩意儿不用解压不用安装，双击就自动执行，堪称“懒人版病毒”。

有受害者就吐槽：“早上刚跟同事问完报价，下午电脑就被监控了，连我昨晚查Bradesco银行余额都被看得一清二楚！”

二、AI神助攻：PowerShell脚本秒变Python，还自带表情包日志

最离谱的是，黑客团队居然把祖传的PowerShell传播脚本，用AI大模型一键转换成了Python版本！

代码“汉化”+升级：原来的脚本只支持Chrome浏览器，AI转完直接兼容Chrome/Edge/Firefox三平台，还加了“批量群发”功能，发毒速度直接翻倍；

表情包日志太魔性：转换后的Python脚本还自带花里胡哨的控制台输出，成功发毒会显示✅，失败了标❌，甚至还有进度条和“超级快！”的中二备注，这哪是黑客工具，分明是AI写的“传毒小游戏”；

错误处理拉满：AI还贴心给脚本加了各种异常处理，就算发毒时被拦截，也能自动重试，主打一个“不死心”。

三、病毒入侵全流程：从“装补丁”到“监控银行APP”的千层套路

一旦你点开恶意文件，恭喜你解锁黑客的“全流程伺候”：

1. 第一步：HTA启动VB脚本

   先在你电脑里偷偷建个instalar.bat批处理文件，神不知鬼不觉连到黑客服务器，下载银行木马安装包和Python传播脚本；

2. 第二步：MSI安装包藏“卧底”

   安装包里塞了AutoIt解释器和加密的木马程序，还会先检查你电脑是不是巴西葡萄牙语系统——不是直接闪退，主打一个“精准狙击巴西用户”；

3. 第三步：偷完银行偷加密

   木马会先扫描你电脑里有没有Bradesco、Itaú这些巴西银行的软件，再翻Chrome浏览器历史看你去过哪些银行网站，甚至连Binance、Coinbase这些加密交易所都不放过；

4. 第四步：进程注入+持久化

   把木马藏进系统进程svchost.exe里，就算你删了病毒文件，它也能自动复活，还会监控你有没有关掉它，关了就重新装，主打一个“赖上你了”。

四、最缺德的操作：自动群发毒文件，把你变成“传毒工具人”

这团伙最绝的是“株连九族”式传播：一旦你中招，它会自动爬取你WhatsApp的通讯录，用你的账号给所有联系人群发恶意文件，还会伪装成你的语气发消息：“这个报价单你看下，急！”

不少受害者反馈：“我妈问我为啥给她发病毒文件，我才知道自己电脑被控制了，社死程度直接拉满！”

五、防坑指南：3招让Water Saci无从下手

1. WhatsApp文件直接“拉黑”

   关掉自动下载功能！尤其是.hta、.zip、不知名PDF，哪怕是老板发的，也先打电话确认再打开；

2. AI转的脚本也怕“笨办法”

   企业电脑直接禁用Python和PowerShell的无权限执行，个人用户别乱装来路不明的“脚本工具”，AI再牛也突破不了系统权限；

3. 银行账户多留个心眼

   别在一台电脑上又登网银又聊WhatsApp，发现浏览器被强制关闭、弹窗要你输密码，直接拔网线断网，大概率是木马在搞鬼！

最后唠两句

现在的黑客都学会“借力AI”“蹭熟人信任”了，咱普通人能做的就是别贪方便、别信陌生文件。毕竟在巴西，丢了银行账户可比社死严重多了！

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

查看原文：《巴西APT组织Water Saci整活新高度！用AI转代码+WhatsApp传毒，专偷银行账户还会自动群发》