Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pangandus troojalane Water Saci pangandustroojalane

Water Saci pangandustroojalane

Aastaks Mezo aastal Pangandus troojalane, Täiustatud püsiv oht (APT), Mobiilne pahavara
Tõlgi:

Küberkuritegevuse operatsioonid arenevad pidevalt ja Brasiilia ohutegija Water Saci on näidanud märkimisväärset edusammu keerukuses. Hiljutised kampaaniad kasutavad mitmekihilisi nakkusahelaid, kasutades HTA-faile, PDF-faile ja WhatsAppi, et levitada pangandustroojat, mis sihib Brasiilia kasutajaid enneolematu tõhususega.

Mitmeformaadiline rünnakuahel: PowerShellist Pythonini

Viimane laine tähistab Water Saci taktika olulist muutust. Varem PowerShellile tuginenud ründetegija kasutab nüüd Pythoni-põhist varianti, mis levitab pahavara ussilaadselt WhatsApp Webi kaudu.

Selle täiustatud rünnakuahela põhielemendid on järgmised:

PDF-peibutised : Ohvrid saavad PDF-faile, mis juhendavad neid pahatahtlikule lingile klõpsates Adobe Readerit värskendama.

HTA-failid : Käivitamisel käivitavad need failid Visual Basicu skripte, mis käivitavad PowerShelli käske kasulike koormuste toomiseks, sealhulgas troojalase MSI-installeri ja WhatsAppi levitamise eest vastutava Pythoni skripti.

See mitmeformaadiline lähenemine näitab, kuidas Water Saci on oma rünnakumehhanisme mitmekesistanud, kasutades tõenäoliselt tehisintellekti või automatiseeritud tööriistu skriptide tõlkimiseks PowerShellist Pythoniks. See suurendab pahavara edastamise ühilduvust, kiirust, vastupidavust ja hooldatavust.

MSI installija ja AutoIt-põhine trooja laadur

MSI installiprogramm toimib pangandustroojani edastusmehhanismina. Selle AutoIt skript täidab mitmeid olulisi funktsioone:

  • Tagab, et troojalast töötab ainult üks eksemplar, kontrollides markerfaili (executed.dat) ja teavitades ründaja kontrollitavat serverit.
  • Kontrollib enne pangandusega seotud failide ja rakenduste (sh Bradesco, Warsaw, Topaz OFD, Sicoob ja Itaú) skannimist süsteemi keeleseadeid (portugali-Brasiilia).
  • Otsib Google Chrome'i ajaloost suuremate Brasiilia pankade külastusi: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi ja Bradesco.

Laadija kasutab troojalase mällu süstimiseks protsessi õõnestamist ja vahepealset PE-laadimist TDA/DMP-failide kaudu, saavutades nii varjatuse kui ka püsivuse. Kui troojalase protsess peatatakse, süstitakse see automaatselt uuesti, kui ohver pangasaidile ligi pääseb.

Trooja funktsionaalsus: agressiivne luure ja volituste vargus

Water Saci troojal on täiustatud võimalused jälgimiseks, kontrollimiseks ja andmete varguse jaoks, sealhulgas:

  • Akna pealkirjade jälgimine pangandus- või krüptovaluutaplatvormide tuvastamiseks.
  • Sunnitud brauseri sulgemine ründaja kontrolli all olevate saitide taasavamiseks.
  • Hosti ja süsteemi luure WMI päringute kaudu.
  • Registri muudatused püsivuse tagamiseks.
  • C2 side kaugjuhtimiseks.
  • Toetatud toimingud hõlmavad järgmist:
  • Süsteemiteabe saatmine
  • Klaviatuur ja ekraanipilt
  • Hiire aktiivsuse simuleerimine
  • Failitoimingud (üles-/allalaadimine)
  • Akna loend
  • Võltsitud panganduskatte loomine

See funktsionaalsus peegeldab LATAM-ile keskendunud pangatroojalasi nagu Casbaneiro, kajastades struktuurilist ja käitumuslikku järjepidevust, kasutades samal ajal täiustatud edastusmehhanisme.

Pythoni-põhine WhatsAppi levitamine

Märkimisväärne uuendus kampaanias on Pythoni skript, mis levitab pahavara WhatsApp Webi kaudu, kasutades brauseri automatiseerimistööriista Selenium. Tõendid viitavad sellele, et Water Saci võis kasutada suuri keelemudeleid või koodi tõlkimise tööriistu, et portida algne PowerShelli levitamisloogika Pythonisse. Konsooli väljundid sisaldavad isegi emotikone, mis rõhutab uue skripti keerukust.

WhatsAppi usaldust ja ulatust ära kasutades saab Water Saci pahavara ulatuslikult ise levitada, möödudes traditsioonilistest kaitsemehhanismidest ja ohvreid kiiresti ohtu seades.

Kokkuvõte: sõnumipõhiste küberohtude uus ajastu

Water Saci kampaania toob esile kasvava trendi: küberkurjategijad muudavad legitiimsed platvormid, näiteks WhatsAppi, relvaks keeruka pahavara levitamiseks. Sotsiaalse manipuleerimise, tehisintellekti abil skriptide arendamise ja mitmeastmelise pahavara levitamise kombineerimise abil saavad ohutegijad säilitada püsivaid pangandustrooja nakkusi, vältides samal ajal tavapäraseid turvakontrolle.

See juhtum rõhutab vajadust suurenenud valvsuse, tugeva lõpp-punkti kaitse ja kasutajate teadlikkuse järele, eriti sellistes piirkondades nagu Brasiilia, kus sõnumsideplatvormidel on igapäevases suhtluses keskne roll.

Trendikas

Enim vaadatud

Laadimine...