Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Τραπεζικός Trojan Τραπεζικό Trojan Water Saci

Τραπεζικό Trojan Water Saci

Μέχρι το Mezo το Τραπεζικός Trojan, Προηγμένη επίμονη απειλή (APT), Κακόβουλο λογισμικό για κινητά
Μετάφραση σε:

Οι επιχειρήσεις στον κυβερνοχώρο συνεχίζουν να εξελίσσονται και ο βραζιλιάνος απειλητικός παράγοντας Water Saci έχει επιδείξει ένα αξιοσημείωτο άλμα στην πολυπλοκότητα. Πρόσφατες εκστρατείες αξιοποιούν πολυεπίπεδες αλυσίδες μόλυνσης χρησιμοποιώντας αρχεία HTA, PDF και WhatsApp για τη διάδοση ενός τραπεζικού trojan, στοχεύοντας Βραζιλιάνους χρήστες με πρωτοφανή αποτελεσματικότητα.

Αλυσίδα επιθέσεων πολλαπλών μορφών: Από το PowerShell στην Python

Το τελευταίο κύμα απειλών σηματοδοτεί μια σημαντική αλλαγή στις τακτικές του Water Saci. Προηγουμένως εξαρτώμενος από το PowerShell, ο απειλητικός παράγοντας χρησιμοποιεί τώρα μια παραλλαγή που βασίζεται σε Python και διαδίδει κακόβουλο λογισμικό με τρόπο που μοιάζει με σκουλήκι μέσω του WhatsApp Web.

Βασικά στοιχεία αυτής της ενισχυμένης αλυσίδας επίθεσης περιλαμβάνουν:

Δολώματα PDF : Τα θύματα λαμβάνουν αρχεία PDF που τους δίνουν οδηγίες να ενημερώσουν το Adobe Reader κάνοντας κλικ σε έναν κακόβουλο σύνδεσμο.

Αρχεία HTA : Όταν εκτελούνται, αυτά τα αρχεία εκτελούν Scripts της Visual Basic που εκκινούν εντολές PowerShell για την ανάκτηση ωφέλιμων φορτίων, συμπεριλαμβανομένου ενός προγράμματος εγκατάστασης MSI για το trojan και του script Python που είναι υπεύθυνο για τη διάδοση του WhatsApp.

Αυτή η προσέγγιση πολλαπλών μορφών καταδεικνύει πώς η Water Saci έχει διαστρωματώσει τους μηχανισμούς επίθεσής της, πιθανώς χρησιμοποιώντας τεχνητή νοημοσύνη ή αυτοματοποιημένα εργαλεία για τη μετάφραση σεναρίων από PowerShell σε Python. Αυτό αυξάνει τη συμβατότητα, την ταχύτητα, την ανθεκτικότητα και τη συντηρησιμότητα της παράδοσης κακόβουλου λογισμικού.

Πρόγραμμα εγκατάστασης MSI και φορτωτής Trojan που βασίζεται σε AutoIt

Το πρόγραμμα εγκατάστασης του MSI χρησιμεύει ως μηχανισμός παράδοσης για το banking trojan. Το σενάριο AutoIt που περιέχει εκτελεί διάφορες κρίσιμες λειτουργίες:

  • Διασφαλίζει ότι εκτελείται μόνο μία παρουσία του trojan, ελέγχοντας για ένα αρχείο δείκτη (executed.dat) και ειδοποιώντας έναν διακομιστή που ελέγχεται από εισβολέα.
  • Επαληθεύει τις ρυθμίσεις γλώσσας συστήματος (Πορτογαλικά-Βραζιλίας) πριν από τη σάρωση για αρχεία και εφαρμογές που σχετίζονται με τραπεζικές συναλλαγές, συμπεριλαμβανομένων των Bradesco, Warsaw, Topaz OFD, Sicoob και Itaú.
  • Αναζητά το ιστορικό του Google Chrome για επισκέψεις σε μεγάλες τράπεζες της Βραζιλίας: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi και Bradesco.

Ο φορτωτής χρησιμοποιεί κοίλωση διεργασίας και ενδιάμεση φόρτωση PE μέσω αρχείων TDA/DMP για να εισάγει το trojan στη μνήμη, επιτυγχάνοντας μυστικότητα και επιμονή. Εάν η διεργασία του trojan τερματιστεί, επανεισάγει αυτόματα όταν το θύμα αποκτήσει πρόσβαση σε έναν τραπεζικό ιστότοπο.

Λειτουργικότητα Trojan: Επιθετική Αναγνώριση & Κλοπή Διαπιστευτηρίων

Το trojan του Water Saci παρουσιάζει προηγμένες δυνατότητες παρακολούθησης, ελέγχου και κλοπής δεδομένων, όπως:

  • Παρακολούθηση τίτλων παραθύρων για την ανίχνευση τραπεζικών πλατφορμών ή πλατφορμών κρυπτονομισμάτων.
  • Αναγκαστικός τερματισμός του προγράμματος περιήγησης για το άνοιγμα ξανά ιστότοπων που βρίσκονται υπό τον έλεγχο του εισβολέα.
  • Αναγνώριση κεντρικού υπολογιστή και συστήματος μέσω ερωτημάτων WMI.
  • Τροποποιήσεις μητρώου για διατήρηση.
  • Επικοινωνία C2 για τηλεχειρισμό.
  • Οι υποστηριζόμενες λειτουργίες περιλαμβάνουν:
  • Αποστολή πληροφοριών συστήματος
  • Πληκτρολόγιο και λήψη οθόνης
  • Προσομοίωση δραστηριότητας ποντικιού
  • Λειτουργίες αρχείων (ανέβασμα/λήψη)
  • Απαρίθμηση παραθύρων
  • Δημιουργία ψεύτικων τραπεζικών επικαλύψεων

Αυτή η λειτουργικότητα αντικατοπτρίζει τα τραπεζικά trojan όπως το Casbaneiro που επικεντρώνονται στη LATAM, αντανακλώντας τη δομική και συμπεριφορική συνέχεια, ενώ παράλληλα χρησιμοποιεί πιο προηγμένους μηχανισμούς παράδοσης.

Διάδοση WhatsApp βασισμένη σε Python

Μια αξιοσημείωτη καινοτομία στην καμπάνια είναι το σενάριο Python που διαδίδει το κακόβουλο λογισμικό μέσω του WhatsApp Web χρησιμοποιώντας το εργαλείο αυτοματισμού προγράμματος περιήγησης Selenium. Τα στοιχεία υποδηλώνουν ότι το Water Saci μπορεί να χρησιμοποίησε μεγάλα γλωσσικά μοντέλα ή εργαλεία μετάφρασης κώδικα για να μεταφέρει την αρχική λογική διάδοσης PowerShell στην Python. Οι έξοδοι της κονσόλας περιλαμβάνουν ακόμη και emoji, υπογραμμίζοντας την πολυπλοκότητα του νέου σεναρίου.

Εκμεταλλευόμενο την εμπιστοσύνη και την εμβέλεια του WhatsApp, το Water Saci μπορεί να αυτοδιαδώσει κακόβουλο λογισμικό σε μεγάλη κλίμακα, παρακάμπτοντας τις παραδοσιακές άμυνες και θέτοντας γρήγορα σε κίνδυνο τα θύματα.

Συμπέρασμα: Μια Νέα Εποχή Κυβερνοαπειλών που Βασίζονται σε Μηνύματα

Η καμπάνια Water Saci υπογραμμίζει μια αυξανόμενη τάση: οι κυβερνοεγκληματίες χρησιμοποιούν νόμιμες πλατφόρμες όπως το WhatsApp ως όπλα για την ανάπτυξη σύνθετου κακόβουλου λογισμικού. Συνδυάζοντας την κοινωνική μηχανική, την ανάπτυξη σεναρίων με τη βοήθεια τεχνητής νοημοσύνης και την πολυσταδιακή παράδοση κακόβουλου λογισμικού, οι απειλητικοί παράγοντες μπορούν να διατηρούν επίμονες μολύνσεις από τραπεζικά trojan, αποφεύγοντας παράλληλα τους συμβατικούς ελέγχους ασφαλείας.

Αυτή η περίπτωση υπογραμμίζει την ανάγκη για αυξημένη επαγρύπνηση, ισχυρή προστασία τερματικών σημείων και ευαισθητοποίηση των χρηστών, ιδίως σε περιοχές όπως η Βραζιλία, όπου οι πλατφόρμες ανταλλαγής μηνυμάτων διαδραματίζουν κεντρικό ρόλο στην καθημερινή επικοινωνία.

Τάσεις

Trustedspotsearch.com

Απατεώνες Ιστότοποι, Adware, Πιθανώς ανεπιθύμητα προγράμματα
Η προστασία του συστήματός σας από παρεμβατικό και αναξιόπιστο λογισμικό είναι απαραίτητη για τη διατήρηση μιας ασφαλούς και αξιόπιστης εμπειρίας περιήγησης. Τα PUP (Δυνητικά Ανεπιθύμητα...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
30,648
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...