Rabattilbud med flere licenser
Trusseldatabase Bank Trojan Vand Saci Banking Trojan

Vand Saci Banking Trojan

Med Mezo i Bank Trojan, Advanced Persistent Threat (APT), Mobil malware
Oversæt til:

Cyberkriminelle operationer fortsætter med at udvikle sig, og den brasilianske trusselsaktør Water Saci har vist et bemærkelsesværdigt spring i sofistikering. Nylige kampagner udnytter flerlagede infektionskæder ved hjælp af HTA-filer, PDF'er og WhatsApp til at sprede en banktrojan, der målretter brasilianske brugere med hidtil uset effektivitet.

Multiformatangrebskæde: Fra PowerShell til Python

Den seneste bølge markerer et betydeligt skift i Water Sacis taktik. Trusselsaktoren, der tidligere var afhængig af PowerShell, bruger nu en Python-baseret variant, der spreder malware på en ormlignende måde via WhatsApp Web.

Nøgleelementer i denne forbedrede angrebskæde inkluderer:

PDF-lokkemidler : Ofre modtager PDF-filer, der instruerer dem i at opdatere Adobe Reader ved at klikke på et ondsindet link.

HTA-filer : Når disse filer udføres, kører de Visual Basic-scripts, der starter PowerShell-kommandoer for at hente nyttelast, herunder et MSI-installationsprogram til trojaneren og Python-scriptet, der er ansvarligt for WhatsApp-udbredelse.

Denne multiformattilgang demonstrerer, hvordan Water Saci har lagdelt sine angrebsmekanismer, sandsynligvis ved hjælp af AI eller automatiserede værktøjer til at oversætte scripts fra PowerShell til Python. Dette øger kompatibilitet, hastighed, robusthed og vedligeholdelse af malwareleveringen.

MSI Installer & AutoIt-baseret trojansk indlæser

MSI-installationsprogrammet fungerer som leveringsmekanisme for banktrojaneren. Dets AutoIt-script udfører flere kritiske funktioner:

  • Sikrer, at kun én instans af trojaneren kører, ved at kontrollere for en markørfil (executed.dat) og underrette en angriberkontrolleret server.
  • Bekræfter systemsprogindstillinger (portugisisk-Brasilien) før scanning efter bankrelaterede filer og applikationer, herunder Bradesco, Warszawa, Topaz OFD, Sicoob og Itaú.
  • Søger i Google Chrome-historikken efter besøg i store brasilianske banker: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi og Bradesco.

Indlæseren bruger proceshollowing og mellemliggende PE-indlæsning via TDA/DMP-filer til at injicere trojaneren i hukommelsen, hvilket opnår stealth og persistens. Hvis trojanprocessen afsluttes, geninjiceres den automatisk, når offeret tilgår en bankside.

Trojansk funktionalitet: Aggressiv rekognoscering og tyveri af legitimationsoplysninger

Water Sacis trojan udviser avancerede funktioner til overvågning, kontrol og datatyveri, herunder:

  • Overvågning af vinduestitel for at detektere bank- eller kryptovalutaplatforme.
  • Tvungen browserlukning for at genåbne websteder under angriberens kontrol.
  • Værts- og systemrekognoscering via WMI-forespørgsler.
  • Ændringer i registreringsdatabasen for at sikre persistens.
  • C2-kommunikation til fjernbetjening.
  • Understøttede operationer omfatter:
  • Sender systemoplysninger
  • Tastatur og skærmbillede
  • Simulering af museaktivitet
  • Filoperationer (upload/download)
  • Vinduesoptælling
  • Oprettelse af falske bankoverlejringer

Denne funktionalitet afspejler LATAM-fokuserede banktrojanere som Casbaneiro og afspejler strukturel og adfærdsmæssig kontinuitet, samtidig med at den anvender mere avancerede leveringsmekanismer.

Python-baseret WhatsApp-udbredelse

En bemærkelsesværdig innovation i kampagnen er Python-scriptet, der spreder malwaren via WhatsApp Web ved hjælp af Selenium-browserens automatiseringsværktøj. Beviser tyder på, at Water Saci muligvis har anvendt store sprogmodeller eller kodeoversættelsesværktøjer til at portere den originale PowerShell-udbredelseslogik til Python. Konsoloutput inkluderer endda emojis, der fremhæver det nye scripts sofistikerede indhold.

Ved at udnytte WhatsApps tillid og rækkevidde kan Water Saci selvudbrede malware i stor skala, omgå traditionelle forsvarsmekanismer og hurtigt kompromittere ofrene.

Konklusion: En ny æra af beskedbaserede cybertrusler

Water Saci-kampagnen fremhæver en voksende tendens: Cyberkriminelle bruger legitime platforme som WhatsApp som våben til at implementere kompleks malware. Ved at kombinere social engineering, AI-assisteret scriptudvikling og flertrins malwarelevering kan trusselsaktører opretholde vedvarende banktrojaninfektioner, samtidig med at de omgår konventionelle sikkerhedskontroller.

Denne sag understreger behovet for øget årvågenhed, robust endpoint-beskyttelse og brugerbevidsthed, især i regioner som Brasilien, hvor beskedplatforme spiller en central rolle i den daglige kommunikation.

Trending

Mest sete

Indlæser...