Slevová nabídka pro více licencí
Databáze hrozeb Bankovní Trojan Bankovní trojan Water Saci

Bankovní trojan Water Saci

V roce Mezo v roce Bankovní Trojan, Pokročilá trvalá hrozba (APT), Mobilní malware
Přeložit do:

Kyberzločinecké operace se neustále vyvíjejí a brazilský hacker Water Saci prokázal pozoruhodný skok v sofistikovanosti. Nedávné kampaně využívají vícevrstvé infekční řetězce s využitím souborů HTA, PDF a WhatsAppu k šíření bankovního trojského koně, který cílí na brazilské uživatele s bezprecedentní efektivitou.

Řetězec útoků s více formáty: Od PowerShellu po Python

Nejnovější vlna útoků představuje významný posun v taktice Water Saci. Dříve se útočník spoléhal na PowerShell, nyní však používá variantu založenou na Pythonu, která šíří malware červovitým způsobem prostřednictvím WhatsApp Web.

Mezi klíčové prvky tohoto vylepšeného útočného řetězce patří:

Návnady na PDF : Oběti obdrží soubory PDF, které je vyzývají k aktualizaci Adobe Readeru kliknutím na škodlivý odkaz.

Soubory HTA : Po spuštění tyto soubory spustí skripty Visual Basic, které spouštějí příkazy PowerShellu pro načtení dat, včetně instalačního programu MSI pro trojského koně a skriptu Pythonu zodpovědného za šíření WhatsAppu.

Tento přístup s využitím více formátů ukazuje, jak společnost Water Saci vrství své útočné mechanismy, pravděpodobně s využitím umělé inteligence nebo automatizovaných nástrojů k překladu skriptů z PowerShellu do Pythonu. To zvyšuje kompatibilitu, rychlost, odolnost a udržovatelnost doručování malwaru.

Instalační program MSI a zavaděč trojských koní založený na technologii AutoIt

Instalační program MSI slouží jako mechanismus pro doručování bankovního trojského koně. Jeho skript AutoIt provádí několik klíčových funkcí:

  • Zajistí, že je spuštěna pouze jedna instance trojského koně, a to kontrolou souboru markerů (executed.dat) a upozorněním serveru ovládaného útočníkem.
  • Ověřuje nastavení jazyka systému (portugalština-Brazílie) před skenováním souborů a aplikací souvisejících s bankovnictvím, včetně Bradesco, Warsaw, Topaz OFD, Sicoob a Itaú.
  • Vyhledá v historii prohlížeče Google Chrome návštěvy velkých brazilských bank: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi a Bradesco.

Zavaděč využívá vymazání procesů a mezilehlé načítání PE pomocí souborů TDA/DMP k vložení trojského koně do paměti, čímž dosahuje nenápadnosti a perzistence. Pokud je proces trojského koně ukončen, automaticky se znovu vloží, když oběť přistupuje k bankovním stránkám.

Funkce trojského koně: Agresivní průzkum a krádež přihlašovacích údajů

Trojan Water Saci vykazuje pokročilé možnosti monitorování, kontroly a krádeže dat, včetně:

  • Monitorování záhlaví oken pro detekci bankovních nebo kryptoměnových platforem.
  • Vynucené ukončení prohlížeče za účelem opětovného otevření webů pod kontrolou útočníka.
  • Průzkum hostitele a systému pomocí dotazů WMI.
  • Úpravy registru pro zajištění trvalosti.
  • Komunikace C2 pro dálkové ovládání.
  • Mezi podporované operace patří:
  • Odesílání systémových informací
  • Klávesnice a snímání obrazovky
  • Simulace aktivity myši
  • Operace se soubory (nahrávání/stahování)
  • Výčet oken
  • Vytváření falešných bankovních překryvů

Tato funkce odráží bankovní trojské koně zaměřené na LATAM, jako je Casbaneiro, a odráží strukturální a behaviorální kontinuitu a zároveň využívá pokročilejší mechanismy doručování.

Šíření WhatsAppu v Pythonu

Pozoruhodnou inovací v kampani je skript v Pythonu, který šíří malware prostřednictvím WhatsApp Web pomocí automatizačního nástroje prohlížeče Selenium. Důkazy naznačují, že Water Saci mohl použít rozsáhlé jazykové modely nebo nástroje pro překlad kódu k přenesení původní logiky šíření PowerShellu do Pythonu. Výstupy z konzole dokonce obsahují emoji, což zdůrazňuje sofistikovanost nového skriptu.

Využíváním důvěry a dosahu WhatsAppu může Water Saci samovolně šířit malware ve velkém měřítku, obcházet tradiční obranu a rychle ohrozit oběti.

Závěr: Nová éra kybernetických hrozeb založených na zasílání zpráv

Kampaň Water Saci zdůrazňuje rostoucí trend: kyberzločinci zneužívají legitimní platformy, jako je WhatsApp, k nasazování komplexního malwaru. Kombinací sociálního inženýrství, vývoje skriptů s pomocí umělé inteligence a vícestupňového distribuce malwaru mohou útočníci udržovat trvalé infekce bankovními trojskými koněmi a zároveň se vyhýbat konvenčním bezpečnostním kontrolám.

Tento případ zdůrazňuje potřebu zvýšené ostražitosti, robustní ochrany koncových bodů a povědomí uživatelů, zejména v regionech, jako je Brazílie, kde platformy pro zasílání zpráv hrají ústřední roli v každodenní komunikaci.

Trendy

Nejvíce shlédnuto

Načítání...