Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Troià bancari Troià bancari Water Saci

Troià bancari Water Saci

El Mezo el Troià bancari, Amenaça persistent avançada (APT), Programari maliciós mòbil
Traduir a:

Les operacions ciberdelinqüents continuen evolucionant, i l'actor d'amenaces brasiler Water Saci ha demostrat un salt notable en sofisticació. Campanyes recents aprofiten cadenes d'infecció de múltiples capes utilitzant fitxers HTA, PDF i WhatsApp per propagar un troià bancari, dirigit a usuaris brasilers amb una eficiència sense precedents.

Cadena d’atac multiformat: de PowerShell a Python

L'última onada marca un canvi significatiu en les tàctiques de Water Saci. Anteriorment depenia de PowerShell, l'actor d'amenaces ara utilitza una variant basada en Python que propaga programari maliciós de manera semblant a un cuc a través de WhatsApp Web.

Els elements clau d'aquesta cadena d'atac millorada inclouen:

Esquers PDF : Les víctimes reben fitxers PDF que els indiquen que actualitzin Adobe Reader fent clic a un enllaç maliciós.

Fitxers HTA : Quan s'executen, aquests fitxers executen scripts de Visual Basic que llancen ordres de PowerShell per obtenir càrregues útils, incloent-hi un instal·lador MSI per al troià i l'script de Python responsable de la propagació de WhatsApp.

Aquest enfocament multiformat demostra com Water Saci ha superposat els seus mecanismes d'atac, probablement utilitzant IA o eines automatitzades per traduir scripts de PowerShell a Python. Això augmenta la compatibilitat, la velocitat, la resiliència i la mantenibilitat del lliurament de programari maliciós.

Instal·lador MSI i carregador de troians basat en AutoIt

L'instal·lador MSI serveix com a mecanisme de lliurament per al troià bancari. El seu script AutoIt realitza diverses funcions crítiques:

  • Assegura que només s'executi una instància del troià comprovant si hi ha un fitxer de marcadors (executed.dat) i notificant-ho a un servidor controlat per un atacant.
  • Verifica la configuració d'idioma del sistema (portuguès-Brasil) abans d'escanejar fitxers i aplicacions relacionades amb la banca, com ara Bradesco, Warsaw, Topaz OFD, Sicoob i Itaú.
  • Cerca a l'historial de Google Chrome per a les visites als principals bancs brasilers: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi i Bradesco.

El carregador utilitza el buidatge de processos i la càrrega intermèdia de PE mitjançant fitxers TDA/DMP per injectar el troià a la memòria, aconseguint així la discreció i la persistència. Si el procés del troià finalitza, el torna a injectar automàticament quan la víctima accedeix a un lloc web bancari.

Funcionalitat del troià: reconeixement agressiu i robatori de credencials

El troià de Water Saci presenta capacitats avançades de monitorització, control i robatori de dades, incloent-hi:

  • Monitorització del títol de la finestra per detectar plataformes bancàries o de criptomoneda.
  • Tancament forçat del navegador per reobrir llocs sota control d'atacant.
  • Reconeixement de l'amfitrió i del sistema mitjançant consultes WMI.
  • Modificacions del registre per a la persistència.
  • Comunicació C2 per a control remot.
  • Les operacions compatibles inclouen:
  • Enviament d'informació del sistema
  • Teclat i captura de pantalla
  • Simulació de l'activitat del ratolí
  • Operacions amb fitxers (càrrega/descàrrega)
  • Enumeració de finestres
  • Creació de superposicions bancàries falses

Aquesta funcionalitat reflecteix els troians bancaris centrats en LATAM com Casbaneiro, reflectint la continuïtat estructural i de comportament alhora que empra mecanismes de lliurament més avançats.

Propagació de WhatsApp basada en Python

Una innovació destacable de la campanya és l'script de Python que propaga el programari maliciós a través de WhatsApp Web utilitzant l'eina d'automatització del navegador Selenium. L'evidència suggereix que Water Saci podria haver utilitzat models de llenguatge grans o eines de traducció de codi per portar la lògica de propagació original de PowerShell a Python. Les sortides de la consola fins i tot inclouen emojis, cosa que destaca la sofisticació del nou script.

Aprofitant la confiança i l'abast de WhatsApp, Water Saci pot autopropagar programari maliciós a gran escala, evitant les defenses tradicionals i comprometent ràpidament les víctimes.

Conclusió: una nova era d’amenaces cibernètiques basades en missatgeria

La campanya Water Saci destaca una tendència creixent: els ciberdelinqüents utilitzen plataformes legítimes com WhatsApp com a armes per implementar programari maliciós complex. Combinant l'enginyeria social, el desenvolupament de scripts assistit per IA i el lliurament de programari maliciós en diverses etapes, els actors amenaçadors poden mantenir infeccions persistents de troians bancaris mentre evadeixen els controls de seguretat convencionals.

Aquest cas subratlla la necessitat d'una major vigilància, una protecció robusta dels endpoints i la conscienciació dels usuaris, especialment en regions com el Brasil, on les plataformes de missatgeria tenen un paper central en la comunicació diària.

Tendència

Més vist

Carregant...