Water Saci banki trójai

Mezo -ra Banki trójai, Advanced Persistent Threat (APT), Mobil rosszindulatú program-ben

Fordítás ide:

A kiberbűnözői műveletek folyamatosan fejlődnek, és a brazil Water Saci nevű bűnöző figyelemre méltó kifinomultsági ugrást mutatott be. A legutóbbi kampányok többrétegű fertőzési láncokat használnak ki HTA-fájlok, PDF-ek és WhatsApp segítségével egy banki trójai vírus terjesztésére, amely példátlan hatékonysággal célozza meg a brazil felhasználókat.

Tartalomjegyzék

Többformátumú támadási lánc: PowerShell-től Pythonig

A legújabb hullám jelentős változást jelent Water Saci taktikájában. A korábban PowerShell-re támaszkodó fenyegető szereplő most egy Python-alapú variánst használ, amely féregszerűen terjeszti a rosszindulatú programokat a WhatsApp Weben keresztül.

A továbbfejlesztett támadási lánc főbb elemei a következők:

PDF csalik : Az áldozatok PDF fájlokat kapnak, amelyek arra utasítják őket, hogy frissítsék az Adobe Reader programot egy rosszindulatú hivatkozásra kattintva.

HTA fájlok : Végrehajtáskor ezek a fájlok Visual Basic szkripteket futtatnak, amelyek PowerShell-parancsokat indítanak el a hasznos adatok lekéréséhez, beleértve a trójai MSI telepítőjét és a WhatsApp terjesztéséért felelős Python szkriptet.

Ez a többformátumú megközelítés jól mutatja, hogyan rétegezte a Water Saci a támadási mechanizmusait, valószínűleg mesterséges intelligenciát vagy automatizált eszközöket használva a PowerShell szkriptek Pythonra fordítására. Ez növeli a kártevők kézbesítésének kompatibilitását, sebességét, rugalmasságát és karbantarthatóságát.

MSI telepítő és AutoIt-alapú trójai betöltő

Az MSI telepítő a banki trójai vírus kézbesítési mechanizmusaként szolgál. Az AutoIt szkriptje számos kritikus funkciót lát el:

Egy jelölőfájl (executed.dat) ellenőrzésével és a támadó által ellenőrzött szerver értesítésével biztosítja, hogy a trójai vírusnak csak egy példánya fusson.
Banki fájlok és alkalmazások (beleértve a Bradesco, Warsaw, Topaz OFD, Sicoob és Itaú) szkennelése előtt ellenőrzi a rendszer nyelvi beállításait (portugál-brazília).
A Google Chrome előzményei között keresi a nagyobb brazil bankok látogatásait: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi és Bradesco.

A betöltő folyamatüregesítést és köztes PE betöltést használ TDA/DMP fájlokon keresztül a trójai memóriába juttatásához, így biztosítva a rejtett és perzisztens működést. Ha a trójai folyamat leáll, automatikusan újra befecskendezi magát, amikor az áldozat banki oldalhoz fér hozzá.

Trójai funkciók: Agresszív felderítés és hitelesítő adatok ellopása

A Water Saci trójai vírusa fejlett képességeket kínál a monitorozás, az ellenőrzés és az adatlopás terén, beleértve:

Ablakcím-figyelés banki vagy kriptovaluta-platformok észleléséhez.
Kényszerített böngészőleállítás a támadó felügyelete alatt álló webhelyek újranyitásához.
Gazdagép- és rendszerfelderítés WMI-lekérdezéseken keresztül.
A beállításjegyzék módosításai a megőrzés érdekében.
C2 kommunikáció távirányításhoz.
A támogatott műveletek a következők:
Rendszerinformációk küldése
Billentyűzet és képernyőkép
Egéraktivitás szimulálása
Fájlműveletek (feltöltés/letöltés)
Ablakok felsorolása
Hamis banki átfedések létrehozása

Ez a funkcionalitás a Casbaneirohoz hasonló, a LATAM-ra fókuszáló banki trójai vírusokhoz hasonlóan tükrözi a strukturális és viselkedési folytonosságot, miközben fejlettebb kézbesítési mechanizmusokat alkalmaz.

Python-alapú WhatsApp terjesztés

A kampány egyik figyelemre méltó újítása a Python szkript, amely a Selenium böngészőautomatizáló eszköz segítségével terjeszti a rosszindulatú programot a WhatsApp Weben keresztül. A bizonyítékok arra utalnak, hogy Water Saci nagyméretű nyelvi modelleket vagy kódfordító eszközöket használt az eredeti PowerShell-terjesztési logika Pythonra való átültetéséhez. A konzol kimenetei emojikat is tartalmaznak, kiemelve az új szkript kifinomultságát.

A WhatsApp bizalmának és elérhetőségének kihasználásával a Water Saci képes nagymértékben terjeszteni a rosszindulatú programokat, megkerülve a hagyományos védelmet és gyorsan kompromittálva az áldozatokat.

Konklúzió: Az üzenetküldésen alapuló kiberfenyegetések új korszaka

A Water Saci kampány egy növekvő trendre világít rá: a kiberbűnözők fegyverként használnak fel olyan legitim platformokat, mint a WhatsApp, hogy összetett rosszindulatú programokat telepítsenek. A társadalmi manipuláció, a mesterséges intelligencia által támogatott szkriptfejlesztés és a többlépcsős rosszindulatú programok eljuttatásának kombinálásával a fenyegető szereplők tartós banki trójai fertőzéseket tudnak fenntartani, miközben megkerülik a hagyományos biztonsági ellenőrzéseket.

Ez az eset rávilágít a fokozott éberség, a hatékony végpontvédelem és a felhasználói tudatosság szükségességére, különösen olyan régiókban, mint Brazília, ahol az üzenetküldő platformok központi szerepet játszanak a napi kommunikációban.

Az EnigmaSoft fizetési processzora, a Digital River GmbH csődbejelentése nem befolyásolja a SpyHunter ügyfelek rosszindulatú programok elleni védelmét

Keresés

Régió módosítása

Water Saci banki trójai

Többformátumú támadási lánc: PowerShell-től Pythonig

MSI telepítő és AutoIt-alapú trójai betöltő

Trójai funkciók: Agresszív felderítés és hitelesítő adatok ellopása

Python-alapú WhatsApp terjesztés

Konklúzió: Az üzenetküldésen alapuló kiberfenyegetések új korszaka

Küldje el megjegyzését

Felkapott

Lionmerks.com

Trustedspotsearch.com

Cosollic.com

Legnézettebb

Rosszindulatú

„Geek Squad” e-mail átverés

Fuq.com