Monen lisenssin alennustarjous
Uhatietokanta Pankkitoiminta Troijalainen Water Saci -pankkitroijalainen

Water Saci -pankkitroijalainen

Vuonna Mezo vuonna Pankkitoiminta Troijalainen, Advanced Persistent Threat (APT), Mobiili haittaohjelma
Käännä:

Kyberrikolliset operaatiot kehittyvät jatkuvasti, ja brasilialainen uhkatoimija Water Saci on osoittanut huomattavaa edistysaskelta kehittyneisyydessä. Viimeaikaiset kampanjat hyödyntävät monikerroksisia tartuntaketjuja käyttäen HTA-tiedostoja, PDF-tiedostoja ja WhatsAppia levittääkseen pankkitroijalaista, joka kohdistaa hyökkäyksiä brasilialaisiin käyttäjiin ennennäkemättömän tehokkaasti.

Monimuotoinen hyökkäysketju: PowerShellistä Pythoniin

Uusin aalto merkitsee merkittävää muutosta Water Sacin taktiikassa. Aiemmin PowerShelliin luottanut uhkatoimija käyttää nyt Python-pohjaista varianttia, joka levittää haittaohjelmia matomaisesti WhatsApp Webin kautta.

Tämän parannetun hyökkäysketjun keskeisiä elementtejä ovat:

PDF-vieheet : Uhrit saavat PDF-tiedostoja, joissa heitä pyydetään päivittämään Adobe Reader napsauttamalla haitallista linkkiä.

HTA-tiedostot : Suoritettaessa nämä tiedostot ajavat Visual Basic -komentosarjoja, jotka käynnistävät PowerShell-komentoja hyötykuormien noutamiseksi, mukaan lukien troijalaisen MSI-asennusohjelman ja WhatsAppin levittämisestä vastaavan Python-komentosarjan.

Tämä monialustainen lähestymistapa osoittaa, kuinka Water Saci on kerrostanut hyökkäysmekanismejaan, todennäköisesti käyttämällä tekoälyä tai automatisoituja työkaluja komentosarjojen kääntämiseen PowerShellistä Pythoniksi. Tämä lisää haittaohjelmien toimituksen yhteensopivuutta, nopeutta, vikasietoisuutta ja ylläpidettävyyttä.

MSI-asennusohjelma ja AutoIt-pohjainen troijalaisten lataaja

MSI-asennusohjelma toimii pankkitroijalaisen toimitusmekanismina. Sen AutoIt-skripti suorittaa useita kriittisiä toimintoja:

  • Varmistaa, että vain yksi troijalaisen esiintymä on käynnissä, tarkistamalla merkintätiedoston (executed.dat) ja ilmoittamalla hyökkääjän hallitsemalle palvelimelle.
  • Tarkistaa järjestelmän kieliasetukset (portugali, brasilialainen) ennen pankkitoimintaan liittyvien tiedostojen ja sovellusten, mukaan lukien Bradescon, Warsawin, Topaz OFD:n, Sicoobin ja Itaún, skannausta.
  • Hakee Google Chromen historiasta käyntejä suurissa brasilialaisissa pankeissa: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi ja Bradesco.

Lataaja käyttää prosessin onttoamista ja PE-välilatausta TDA/DMP-tiedostojen kautta syöttääkseen troijalaisen muistiin, mikä varmistaa piilotuksen ja pysyvyyden. Jos troijalainen prosessi lopetetaan, se syöttää sen automaattisesti uudelleen, kun uhri käyttää pankkisivustoa.

Troijalaisen toiminnallisuus: Aggressiivinen tiedustelu ja tunnistetietojen varastaminen

Water Sacin troijalainen esittelee edistyneitä valvonta-, hallinta- ja tietovarkausominaisuuksia, mukaan lukien:

  • Ikkunoiden otsikoiden valvonta pankki- tai kryptovaluutta-alustojen havaitsemiseksi.
  • Pakotettu selaimen sulkeminen hyökkääjän hallinnassa olevien sivustojen uudelleenavaamiseksi.
  • Isännän ja järjestelmän tiedustelu WMI-kyselyiden avulla.
  • Rekisterin muutokset pysyvyyden takaamiseksi.
  • C2-tiedonsiirto etäohjausta varten.
  • Tuettuihin toimintoihin kuuluvat:
  • Järjestelmätietojen lähettäminen
  • Näppäimistö ja näytönkaappaus
  • Hiiren toiminnan simulointi
  • Tiedostotoiminnot (lataus/lähetys)
  • Ikkunoiden luettelointi
  • Väärennettyjen pankkipeittokuvien luominen

Tämä toiminnallisuus peilaa LATAM-keskeisiä pankkitroijalaisia, kuten Casbaneiroa, heijastaen rakenteellista ja käyttäytymiseen liittyvää jatkuvuutta samalla, kun se käyttää edistyneempiä toimitusmekanismeja.

Python-pohjainen WhatsApp-levitys

Merkittävä innovaatio kampanjassa on Python-skripti, joka levittää haittaohjelmaa WhatsApp Webin kautta Selenium-selaimen automaatiotyökalua käyttäen. Todisteet viittaavat siihen, että Water Saci on saattanut käyttää laajoja kielimalleja tai koodinkäännöstyökaluja alkuperäisen PowerShell-levityslogiikan siirtämiseen Pythoniin. Konsolin tulosteisiin sisältyy jopa emojeja, mikä korostaa uuden skriptin hienostuneisuutta.

Hyödyntämällä WhatsAppin luottamusta ja ulottuvuutta Water Saci voi levittää haittaohjelmia itse laajamittaisesti ohittaen perinteiset puolustuskeinot ja vaarantaen uhrit nopeasti.

Johtopäätös: Viestipohjaisten kyberuhkien uusi aikakausi

Water Saci -kampanja korostaa kasvavaa trendiä: kyberrikolliset käyttävät aseina laillisia alustoja, kuten WhatsAppia, monimutkaisten haittaohjelmien levittämiseen. Yhdistämällä sosiaalisen manipuloinnin, tekoälyavusteisen komentosarjojen kehittämisen ja monivaiheisen haittaohjelmien toimituksen uhkatoimijat voivat ylläpitää jatkuvia pankkitroijalaistartuntoja ja samalla kiertää perinteisiä turvatoimia.

Tämä tapaus korostaa lisääntyneen valppauden, vankan päätelaitteiden suojauksen ja käyttäjien tietoisuuden tarvetta erityisesti Brasilian kaltaisilla alueilla, joilla viestintäalustoilla on keskeinen rooli päivittäisessä viestinnässä.

Trendaavat

Eniten katsottu

Ladataan...