Ponuda s popustom na više licenci
Baza prijetnji Bankarski trojanac Trojanac za bankarstvo Water Saci

Trojanac za bankarstvo Water Saci

Do Mezo. Bankarski trojanac, Napredna trajna prijetnja (APT), Mobilni malware. godine
Prevedi na:

Kibernetičko kriminalne operacije se nastavljaju razvijati, a brazilski akter prijetnji Water Saci pokazao je izvanredan skok u sofisticiranosti. Nedavne kampanje koriste višeslojne lance infekcije koristeći HTA datoteke, PDF-ove i WhatsApp za širenje bankarskog trojanca, ciljajući brazilske korisnike s neviđenom učinkovitošću.

Lanac napada u više formata: od PowerShella do Pythona

Najnoviji val označava značajnu promjenu u taktici Water Sacija. Prije se oslanjao na PowerShell, akter prijetnje sada koristi varijantu temeljenu na Pythonu koja širi zlonamjerni softver na način sličan crvu putem WhatsApp Weba.

Ključni elementi ovog poboljšanog lanca napada uključuju:

PDF mamci : Žrtve primaju PDF datoteke s uputama za ažuriranje Adobe Readera klikom na zlonamjernu poveznicu.

HTA datoteke : Kada se izvrše, ove datoteke pokreću Visual Basic skripte koje pokreću PowerShell naredbe za dohvaćanje korisnih podataka, uključujući MSI instalacijski program za trojanca i Python skriptu odgovornu za propagaciju WhatsAppa.

Ovaj višeformatni pristup pokazuje kako je Water Saci slojevito rasporedio svoje mehanizme napada, vjerojatno koristeći umjetnu inteligenciju ili automatizirane alate za prevođenje skripti iz PowerShella u Python. To povećava kompatibilnost, brzinu, otpornost i održivost isporuke zlonamjernog softvera.

MSI instalacijski program i program za učitavanje trojanskih konja temeljen na AutoIt-u

MSI instalacijski program služi kao mehanizam za isporuku bankarskog trojanca. Njegova AutoIt skripta obavlja nekoliko ključnih funkcija:

  • Osigurava da se izvršava samo jedna instanca trojanca provjeravanjem datoteke markera (executed.dat) i obavještavanjem poslužitelja kojim upravlja napadač.
  • Provjerava postavke jezika sustava (portugalski-brazilski) prije skeniranja datoteka i aplikacija povezanih s bankarstvom, uključujući Bradesco, Warsaw, Topaz OFD, Sicoob i Itaú.
  • Pretražuje povijest Google Chromea za posjete glavnim brazilskim bankama: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi i Bradesco.

Učitavač koristi procesno "izbacivanje" i međuučitavanje PE-a putem TDA/DMP datoteka za ubrizgavanje trojanca u memoriju, postižući prikrivenost i trajnost. Ako se proces trojanca prekine, automatski se ponovno ubrizgava kada žrtva pristupi bankarskoj stranici.

Funkcionalnost trojanca: Agresivno izviđanje i krađa vjerodajnica

Trojanac tvrtke Water Saci pokazuje napredne mogućnosti za nadzor, kontrolu i krađu podataka, uključujući:

  • Praćenje naslova prozora za otkrivanje bankarskih ili kripto platformi.
  • Prisilno zatvaranje preglednika radi ponovnog otvaranja web-mjesta pod kontrolom napadača.
  • Izviđanje hosta i sustava putem WMI upita.
  • Izmjene registra za trajnost.
  • C2 komunikacija za daljinsko upravljanje.
  • Podržane operacije uključuju:
  • Slanje informacija o sustavu
  • Tipkovnica i snimanje zaslona
  • Simuliranje aktivnosti miša
  • Operacije s datotekama (prijenos/preuzimanje)
  • Nabrajanje prozora
  • Izrada lažnih bankarskih prekrivača

Ova funkcionalnost odražava bankarske trojance usmjerene na LATAM poput Casbaneira, odražavajući strukturni i bihevioralni kontinuitet uz korištenje naprednijih mehanizama isporuke.

Propagacija WhatsAppa temeljena na Pythonu

Značajna inovacija u kampanji je Python skripta koja širi zlonamjerni softver putem WhatsApp Weba pomoću alata za automatizaciju preglednika Selenium. Dokazi upućuju na to da je Water Saci možda koristio velike jezične modele ili alate za prevođenje koda kako bi prenio izvornu logiku propagacije PowerShella u Python. Izlazi konzole čak uključuju emojije, što ističe sofisticiranost nove skripte.

Iskorištavanjem WhatsAppovog povjerenja i dosega, Water Saci može samostalno širiti zlonamjerni softver u velikim razmjerima, zaobilazeći tradicionalne obrane i brzo ugrožavajući žrtve.

Zaključak: Novo doba kibernetičkih prijetnji temeljenih na porukama

Kampanja Water Saci ističe rastući trend: kibernetički kriminalci koriste legitimne platforme poput WhatsAppa kao oružje za implementaciju složenog zlonamjernog softvera. Kombiniranjem društvenog inženjeringa, razvoja skripti uz pomoć umjetne inteligencije i višefazne isporuke zlonamjernog softvera, akteri prijetnji mogu održavati trajne infekcije bankarskim trojancima dok istovremeno izbjegavaju konvencionalne sigurnosne kontrole.

Ovaj slučaj naglašava potrebu za pojačanom budnošću, robusnom zaštitom krajnjih točaka i sviješću korisnika, posebno u regijama poput Brazila, gdje platforme za razmjenu poruka igraju središnju ulogu u svakodnevnoj komunikaciji.

U trendu

Nagledanije

Učitavam...