טרויאן בנקאות מים סאסי
פעולות פושעי הסייבר ממשיכות להתפתח, וגורם האיום הברזילאי Water Saci הפגין קפיצת מדרגה יוצאת דופן בתחכום. קמפיינים אחרונים ממנפים שרשראות הדבקה רב-שכבתיות באמצעות קבצי HTA, קבצי PDF ו-WhatsApp כדי להפיץ טרויאני בנקאי, תוך מיקוד במשתמשים ברזילאים ביעילות חסרת תקדים.
תוכן העניינים
שרשרת תקיפה מרובת פורמטים: מ-PowerShell ועד Python
הגל האחרון מסמן שינוי משמעותי בטקטיקות של Water Saci. בעבר הסתמך גורם האיום על PowerShell, וכעת משתמש בגרסה מבוססת Python שמפיצה תוכנות זדוניות בצורה דמוית תולעת דרך WhatsApp Web.
אלמנטים מרכזיים בשרשרת התקיפה המשופרת הזו כוללים:
פיתויי PDF : קורבנות מקבלים קבצי PDF המורים להם לעדכן את Adobe Reader על ידי לחיצה על קישור זדוני.
קבצי HTA : כאשר הם מבוצעים, קבצים אלה מפעילים סקריפטים של Visual Basic שמפעילים פקודות PowerShell כדי לאחזר מטענים, כולל מתקין MSI עבור הטרויאני וסקריפט Python האחראי על הפצת WhatsApp.
גישה מרובת פורמטים זו מדגימה כיצד Water Saci שילבה את מנגנוני התקיפה שלה, ככל הנראה באמצעות בינה מלאכותית או כלים אוטומטיים כדי לתרגם סקריפטים מ-PowerShell לפייתון. זה מגביר את התאימות, המהירות, החוסן והתחזוקה של אספקת תוכנות זדוניות.
מתקין MSI וטוען טרויאנים מבוסס AutoIt
מתקין MSI משמש כמנגנון מסירה עבור טרויאן הבנקאות. סקריפט AutoIt שלו מבצע מספר פונקציות קריטיות:
- מבטיח שרק מופע אחד של הטרויאן פועל על ידי בדיקת קובץ סמן (executed.dat) והודעה לשרת הנשלט על ידי תוקף.
- מאמת את הגדרות שפת המערכת (פורטוגזית-ברזיל) לפני סריקה לאיתור קבצים ויישומים הקשורים לבנקאות, כולל Bradesco, Warsaw, Topaz OFD, Sicoob ו-Itaú.
- מחפש בהיסטוריה של Google Chrome עבור ביקורים בבנקים גדולים בברזיל: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi ו-Bradesco.
הטוען משתמש ב"חלל תהליכים" וטעינת PE ביניים דרך קבצי TDA/DMP כדי להחדיר את הטרויאן לזיכרון, ובכך להשיג חמקנות ועמידות. אם תהליך הטרויאן מסתיים, הוא מזריק מחדש אוטומטית כאשר הקורבן ניגש לאתר בנק.
פונקציונליות של סוס טרויאני: סיור אגרסיבי וגניבת אישורים
הטרויאן של Water Saci מציג יכולות מתקדמות לניטור, בקרה וגניבת נתונים, כולל:
- ניטור כותרות חלונות לגילוי פלטפורמות בנקאיות או מטבעות קריפטוגרפיים.
- סגירת דפדפן כפויה כדי לפתוח מחדש אתרים הנמצאים תחת שליטת התוקף.
- סיור מארח ומערכת באמצעות שאילתות WMI.
- שינויים ברישום לצורך שמירה על זמינות.
- תקשורת C2 לשלט רחוק.
- פעולות נתמכות כוללות:
- שליחת מידע מערכת
- מקלדת ולכידת מסך
- סימולציה של פעילות עכבר
- פעולות קבצים (העלאה/הורדה)
- ספירת חלונות
- יצירת שכבות בנקאיות מזויפות
פונקציונליות זו משקפת טרויאנים בנקאיים המתמקדים באמריקה הלטינית כמו קסבניירו, ומשקפת המשכיות מבנית והתנהגותית תוך שימוש במנגנוני אספקה מתקדמים יותר.
הפצת וואטסאפ מבוססת פייתון
חידוש בולט בקמפיין הוא סקריפט הפייתון שמפיץ את הנוזקה דרך WhatsApp Web באמצעות כלי האוטומציה של הדפדפן Selenium. עדויות מצביעות על כך ש-Water Saci השתמשה במודלים של שפה גדולה או בכלי תרגום קוד כדי להעביר את לוגיקת ההפצה המקורית של PowerShell לפייתון. פלטי הקונסולה אף כוללים אימוג'ים, המדגישים את התחכום של הסקריפט החדש.
על ידי ניצול האמון והשפעת הרשת של WhatsApp, Water Saci יכולה להפיץ תוכנות זדוניות בקנה מידה גדול, לעקוף הגנות מסורתיות ולסכן במהירות את הקורבנות.
סיכום: עידן חדש של איומי סייבר מבוססי מסרים
קמפיין Water Saci מדגיש מגמה הולכת וגוברת: פושעי סייבר משתמשים בפלטפורמות לגיטימיות כמו WhatsApp כדי לפרוס תוכנות זדוניות מורכבות. על ידי שילוב של הנדסה חברתית, פיתוח סקריפטים בסיוע בינה מלאכותית והעברת תוכנות זדוניות רב-שלביות, גורמי איום יכולים לשמור על הדבקות מתמשכות של טרויאנים בנקאיים תוך התחמקות מבקרות אבטחה קונבנציונליות.
מקרה זה מדגיש את הצורך בערנות מוגברת, הגנה חזקה על נקודות הקצה ומודעות משתמשים, במיוחד באזורים כמו ברזיל, שבהם פלטפורמות העברת הודעות ממלאות תפקיד מרכזי בתקשורת היומיומית.
