वाटर सैसी बैंकिंग ट्रोजन
साइबर अपराधियों की गतिविधियाँ लगातार विकसित हो रही हैं, और ब्राज़ीलियाई ख़तरा वाटर सैसी ने अपनी कुशलता में उल्लेखनीय प्रगति दिखाई है। हाल के अभियान बैंकिंग ट्रोजन को फैलाने के लिए HTA फ़ाइलों, PDF और व्हाट्सएप का उपयोग करके बहु-स्तरीय संक्रमण श्रृंखलाओं का लाभ उठाते हैं, और अभूतपूर्व दक्षता के साथ ब्राज़ीलियाई उपयोगकर्ताओं को निशाना बनाते हैं।
विषयसूची
मल्टी-फॉर्मेट अटैक चेन: पावरशेल से पायथन तक
नवीनतम लहर वाटर सैसी की रणनीति में एक महत्वपूर्ण बदलाव का संकेत देती है। पहले पावरशेल पर निर्भर रहने वाला यह ख़तरा अब पायथन-आधारित संस्करण का इस्तेमाल करता है जो व्हाट्सएप वेब के ज़रिए वर्म जैसे तरीके से मैलवेयर फैलाता है।
इस उन्नत आक्रमण श्रृंखला के प्रमुख तत्वों में शामिल हैं:
पीडीएफ लालच : पीड़ितों को पीडीएफ फाइलें प्राप्त होती हैं जिनमें उन्हें दुर्भावनापूर्ण लिंक पर क्लिक करके एडोब रीडर अपडेट करने का निर्देश दिया जाता है।
HTA फ़ाइलें : जब निष्पादित की जाती हैं, तो ये फ़ाइलें विज़ुअल बेसिक स्क्रिप्ट चलाती हैं जो पेलोड लाने के लिए पावरशेल कमांड लॉन्च करती हैं, जिसमें ट्रोजन के लिए MSI इंस्टॉलर और व्हाट्सएप प्रसार के लिए जिम्मेदार पायथन स्क्रिप्ट शामिल हैं।
यह बहु-प्रारूप दृष्टिकोण दर्शाता है कि वाटर सैसी ने अपने आक्रमण तंत्रों को कैसे स्तरित किया है, संभवतः पावरशेल से पायथन में स्क्रिप्ट का अनुवाद करने के लिए एआई या स्वचालित उपकरणों का उपयोग करते हुए। इससे मैलवेयर वितरण की अनुकूलता, गति, लचीलापन और रखरखाव क्षमता बढ़ जाती है।
MSI इंस्टॉलर और ऑटोइट-आधारित ट्रोजन लोडर
MSI इंस्टॉलर बैंकिंग ट्रोजन के लिए डिलीवरी मैकेनिज्म का काम करता है। इसकी AutoIt स्क्रिप्ट कई महत्वपूर्ण कार्य करती है:
- यह मार्कर फ़ाइल (executed.dat) की जांच करके तथा हमलावर-नियंत्रित सर्वर को सूचित करके सुनिश्चित करता है कि ट्रोजन का केवल एक ही इंस्टैंस चल रहा है।
- बैंकिंग से संबंधित फाइलों और अनुप्रयोगों को स्कैन करने से पहले सिस्टम भाषा सेटिंग्स (पुर्तगाली-ब्राजील) को सत्यापित करता है, जिसमें ब्रैडेस्को, वारसॉ, टोपाज़ ओएफडी, सिकोब और इटाउ शामिल हैं।
- प्रमुख ब्राज़ीलियाई बैंकों की यात्राओं के लिए Google Chrome इतिहास खोजें: सैंटेंडर, बैंको डो ब्रासिल, कैक्सा इकोनोमिका फ़ेडरल, सिक्रेडी और ब्रैडेस्को।
लोडर, TDA/DMP फ़ाइलों के माध्यम से प्रोसेस होलोइंग और इंटरमीडिएट PE लोडिंग का उपयोग करके ट्रोजन को मेमोरी में इंजेक्ट करता है, जिससे स्टेल्थ और पर्सिस्टेंस प्राप्त होता है। यदि ट्रोजन प्रक्रिया समाप्त हो जाती है, तो पीड़ित द्वारा बैंकिंग साइट एक्सेस करने पर यह स्वचालित रूप से पुनः इंजेक्ट हो जाता है।
ट्रोजन कार्यक्षमता: आक्रामक टोही और क्रेडेंशियल चोरी
वाटर सैसी का ट्रोजन निगरानी, नियंत्रण और डेटा चोरी के लिए उन्नत क्षमताओं को प्रदर्शित करता है, जिनमें शामिल हैं:
- बैंकिंग या क्रिप्टोकरेंसी प्लेटफॉर्म का पता लगाने के लिए विंडो शीर्षक निगरानी।
- हमलावर के नियंत्रण में साइटों को पुनः खोलने के लिए ब्राउज़र को जबरन बंद कर दिया गया।
- WMI क्वेरीज़ के माध्यम से होस्ट और सिस्टम की जाँच।
- स्थायित्व के लिए रजिस्ट्री में संशोधन.
- रिमोट कंट्रोल के लिए C2 संचार.
- समर्थित परिचालनों में शामिल हैं:
- सिस्टम जानकारी भेजना
- कीबोर्ड और स्क्रीन कैप्चर
- माउस गतिविधि का अनुकरण
- फ़ाइल संचालन (अपलोड/डाउनलोड)
- विंडो गणना
- नकली बैंकिंग ओवरले बनाना
यह कार्यक्षमता कैस्बेनेरो जैसे LATAM-केंद्रित बैंकिंग ट्रोजन को प्रतिबिंबित करती है, जो अधिक उन्नत वितरण तंत्रों को नियोजित करते हुए संरचनात्मक और व्यवहारिक निरंतरता को दर्शाती है।
पायथन-आधारित व्हाट्सएप प्रसार
इस अभियान में एक उल्लेखनीय नवाचार पायथन स्क्रिप्ट है जो सेलेनियम ब्राउज़र ऑटोमेशन टूल का उपयोग करके व्हाट्सएप वेब के माध्यम से मैलवेयर प्रसारित करती है। साक्ष्य बताते हैं कि वाटर सैसी ने मूल पावरशेल प्रसार तर्क को पायथन में पोर्ट करने के लिए बड़े भाषा मॉडल या कोड-अनुवाद टूल का उपयोग किया होगा। कंसोल आउटपुट में इमोजी भी शामिल हैं, जो नई स्क्रिप्ट की परिष्कृतता को उजागर करते हैं।
व्हाट्सएप के विश्वास और पहुंच का फायदा उठाकर, वाटर सैसी बड़े पैमाने पर मैलवेयर का प्रसार कर सकता है, पारंपरिक सुरक्षा उपायों को दरकिनार कर सकता है और पीड़ितों को तेजी से खतरे में डाल सकता है।
निष्कर्ष: संदेश-आधारित साइबर खतरों का एक नया युग
वाटर सैसी अभियान एक बढ़ती प्रवृत्ति पर प्रकाश डालता है: साइबर अपराधी जटिल मैलवेयर तैनात करने के लिए व्हाट्सएप जैसे वैध प्लेटफॉर्म का इस्तेमाल कर रहे हैं। सोशल इंजीनियरिंग, एआई-सहायता प्राप्त स्क्रिप्ट विकास और बहु-चरणीय मैलवेयर वितरण के संयोजन से, ख़तरा पैदा करने वाले लोग पारंपरिक सुरक्षा नियंत्रणों से बचते हुए लगातार बैंकिंग ट्रोजन संक्रमण जारी रख सकते हैं।
यह मामला विशेष रूप से ब्राजील जैसे क्षेत्रों में, जहां मैसेजिंग प्लेटफॉर्म दैनिक संचार में केंद्रीय भूमिका निभाते हैं, बढ़ी हुई सतर्कता, मजबूत एंडपॉइंट सुरक्षा और उपयोगकर्ता जागरूकता की आवश्यकता को रेखांकित करता है।
