قیمت چند مجوز تخفیف
پایگاه داده تهدید تروجان بانکی تروجان بانکی Water Saci

تروجان بانکی Water Saci

تا Mezo در تروجان بانکی, تهدید مداوم پیشرفته (APT), بدافزار موبایل
ترجمه به:

عملیات مجرمان سایبری همچنان در حال تکامل است و واتر ساکی، عامل تهدید برزیلی، جهش قابل توجهی در پیچیدگی این عملیات نشان داده است. کمپین‌های اخیر از زنجیره‌های آلودگی چندلایه با استفاده از فایل‌های HTA، فایل‌های PDF و واتس‌اپ برای انتشار یک تروجان بانکی استفاده می‌کنند و کاربران برزیلی را با کارایی بی‌سابقه‌ای هدف قرار می‌دهند.

زنجیره حمله چند فرمتی: از پاورشل تا پایتون

موج اخیر نشان‌دهنده‌ی تغییر قابل توجهی در تاکتیک‌های Water Saci است. این عامل تهدید که قبلاً به PowerShell متکی بود، اکنون از نوعی مبتنی بر پایتون استفاده می‌کند که بدافزار را به روشی کرم‌مانند از طریق واتس‌اپ وب پخش می‌کند.

عناصر کلیدی این زنجیره حمله پیشرفته عبارتند از:

فریب‌های PDF : قربانیان فایل‌های PDF دریافت می‌کنند که از آنها خواسته می‌شود با کلیک روی یک لینک مخرب، Adobe Reader را به‌روزرسانی کنند.

فایل‌های HTA : این فایل‌ها هنگام اجرا، اسکریپت‌های ویژوال بیسیک را اجرا می‌کنند که دستورات PowerShell را برای دریافت پیلودها، از جمله یک نصب‌کننده MSI برای تروجان و اسکریپت پایتون مسئول انتشار واتس‌اپ، اجرا می‌کنند.

این رویکرد چندفرمتی نشان می‌دهد که چگونه Water Saci مکانیسم‌های حمله خود را لایه‌بندی کرده است، احتمالاً با استفاده از هوش مصنوعی یا ابزارهای خودکار برای ترجمه اسکریپت‌ها از PowerShell به پایتون. این امر سازگاری، سرعت، انعطاف‌پذیری و قابلیت نگهداری ارائه بدافزار را افزایش می‌دهد.

نصب‌کننده‌ی MSI و تروجان مبتنی بر AutoIt

نصب‌کننده‌ی MSI به عنوان مکانیزم توزیع تروجان بانکی عمل می‌کند. اسکریپت AutoIt آن چندین عملکرد حیاتی را انجام می‌دهد:

  • با بررسی فایل نشانگر (executed.dat) و اطلاع‌رسانی به سرور تحت کنترل مهاجم، اطمینان حاصل می‌کند که فقط یک نمونه از تروجان در حال اجرا است.
  • قبل از اسکن فایل‌ها و برنامه‌های مرتبط با بانکداری، از جمله Bradesco، Warsaw، Topaz OFD، Sicoob و Itaú، تنظیمات زبان سیستم (پرتغالی-برزیلی) را تأیید می‌کند.
  • تاریخچه Google Chrome را برای بازدید از بانک‌های بزرگ برزیل جستجو می‌کند: Santander، Banco do Brasil، Caixa Econômica Federal، Sicredi، و Bradesco.

این بارگذار از فرآیند توخالی‌سازی و بارگذاری PE میانی از طریق فایل‌های TDA/DMP برای تزریق تروجان به حافظه استفاده می‌کند و به مخفی‌کاری و ماندگاری دست می‌یابد. اگر فرآیند تروجان خاتمه یابد، هنگام دسترسی قربانی به یک سایت بانکی، به طور خودکار دوباره تزریق می‌شود.

عملکرد تروجان: شناسایی تهاجمی و سرقت اعتبارنامه‌ها

تروجان Water Saci قابلیت‌های پیشرفته‌ای برای نظارت، کنترل و سرقت داده‌ها از خود نشان می‌دهد، از جمله:

  • نظارت بر عنوان پنجره برای شناسایی پلتفرم‌های بانکی یا ارزهای دیجیتال.
  • بستن اجباری مرورگر برای بازگشایی سایت‌های تحت کنترل مهاجم.
  • شناسایی میزبان و سیستم از طریق پرس‌وجوهای WMI.
  • تغییرات رجیستری برای ماندگاری.
  • ارتباط C2 برای کنترل از راه دور
  • عملیات پشتیبانی شده عبارتند از:
  • ارسال اطلاعات سیستم
  • ضبط صفحه کلید و صفحه نمایش
  • شبیه‌سازی فعالیت ماوس
  • عملیات فایل (آپلود/دانلود)
  • شمارش پنجره
  • ایجاد پوشش‌های بانکی جعلی

این عملکرد، تروجان‌های بانکی متمرکز بر آمریکای لاتین مانند کازبانیرو را منعکس می‌کند و در عین حال که از مکانیسم‌های تحویل پیشرفته‌تری استفاده می‌کند، پیوستگی ساختاری و رفتاری را نیز منعکس می‌کند.

انتشار واتس‌اپ مبتنی بر پایتون

یک نوآوری قابل توجه در این کمپین، اسکریپت پایتون است که بدافزار را از طریق واتس‌اپ وب با استفاده از ابزار اتوماسیون مرورگر سلنیوم منتشر می‌کند. شواهد نشان می‌دهد که واتر ساکی ممکن است از مدل‌های زبانی بزرگ یا ابزارهای ترجمه کد برای انتقال منطق انتشار اصلی پاورشل به پایتون استفاده کرده باشد. خروجی‌های کنسول حتی شامل ایموجی‌ها نیز می‌شوند که پیچیدگی اسکریپت جدید را برجسته می‌کند.

با سوءاستفاده از اعتماد و دسترسی واتس‌اپ، واتر ساچی می‌تواند بدافزار را در مقیاس وسیع منتشر کند، از سدهای دفاعی سنتی عبور کند و به سرعت قربانیان را در معرض خطر قرار دهد.

نتیجه‌گیری: عصر جدیدی از تهدیدات سایبری مبتنی بر پیام‌رسان

کمپین Water Saci یک روند رو به رشد را برجسته می‌کند: مجرمان سایبری از پلتفرم‌های قانونی مانند واتس‌اپ برای استقرار بدافزارهای پیچیده استفاده می‌کنند. با ترکیب مهندسی اجتماعی، توسعه اسکریپت با کمک هوش مصنوعی و ارائه بدافزار چند مرحله‌ای، عوامل تهدید می‌توانند آلودگی‌های تروجان بانکی را به طور مداوم حفظ کنند و در عین حال از کنترل‌های امنیتی مرسوم فرار کنند.

این مورد، نیاز به هوشیاری بیشتر، محافظت قوی از نقاط پایانی و آگاهی کاربران را، به ویژه در مناطقی مانند برزیل، که پلتفرم‌های پیام‌رسان نقش محوری در ارتباطات روزانه دارند، برجسته می‌کند.

پرطرفدار

Lionmerks.com

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
هوشیار ماندن هنگام گشت و گذار در اینترنت ضروری است، به خصوص که وب‌سایت‌های فریبنده همچنان در تلاش‌های خود برای فریب کاربران تکامل می‌یابند. صفحاتی که برای تقلید از بررسی‌های قانونی، هشدارها یا...

Trustedspotsearch.com

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, برنامه های بالقوه ناخواسته
محافظت از سیستم شما در برابر نرم‌افزارهای مزاحم و غیرقابل اعتماد برای حفظ یک تجربه مرور امن و قابل اعتماد ضروری است. برنامه‌های ناخواسته (PUP) اغلب خود را به عنوان ابزارهای مفید پنهان می‌کنند، اما...

Cosollic.com

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
هوشیار ماندن هنگام مرور وب ضروری است، زیرا بسیاری از وب‌سایت‌ها امروزه تلاش می‌کنند کاربران را با تاکتیک‌های فریبنده‌ای که آنها را در معرض خطرات امنیتی و حریم خصوصی قرار می‌دهد، گمراه کنند. یکی از...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
30,648
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...