Preventivo sconto multi-licenza
Database delle minacce Trojan bancario Trojan bancario Water Saci

Trojan bancario Water Saci

Entro Mezo nel Trojan bancario, Minaccia persistente avanzata (APT), Malware per dispositivi mobili
Traduci in:

Le operazioni dei criminali informatici continuano a evolversi e l'autore di minacce brasiliano Water Saci ha dimostrato un notevole balzo in avanti in termini di sofisticatezza. Le recenti campagne sfruttano catene di infezione multilivello utilizzando file HTA, PDF e WhatsApp per propagare un trojan bancario, prendendo di mira gli utenti brasiliani con un'efficienza senza precedenti.

Catena di attacco multiformato: da PowerShell a Python

L'ultima ondata segna un cambiamento significativo nelle tattiche di Water Saci. In precedenza basato su PowerShell, l'autore della minaccia ora impiega una variante basata su Python che diffonde malware in modo simile a un worm tramite WhatsApp Web.

Gli elementi chiave di questa catena di attacco potenziata includono:

Esche PDF : le vittime ricevono file PDF che le invitano ad aggiornare Adobe Reader cliccando su un collegamento dannoso.

File HTA : quando eseguiti, questi file eseguono script di Visual Basic che avviano comandi PowerShell per recuperare i payload, tra cui un programma di installazione MSI per il trojan e lo script Python responsabile della propagazione di WhatsApp.

Questo approccio multiformato dimostra come Water Saci abbia stratificato i suoi meccanismi di attacco, probabilmente utilizzando l'intelligenza artificiale o strumenti automatizzati per tradurre gli script da PowerShell a Python. Ciò aumenta la compatibilità, la velocità, la resilienza e la manutenibilità della distribuzione del malware.

MSI Installer e Trojan Loader basato su AutoIt

Il programma di installazione MSI funge da meccanismo di distribuzione per il trojan bancario. Il suo script AutoIt esegue diverse funzioni critiche:

  • Assicura che sia in esecuzione una sola istanza del trojan verificando la presenza di un file marcatore (executed.dat) e inviando una notifica a un server controllato dall'aggressore.
  • Verifica le impostazioni della lingua di sistema (portoghese-brasiliano) prima di eseguire la scansione di file e applicazioni correlati alle attività bancarie, tra cui Bradesco, Warsaw, Topaz OFD, Sicoob e Itaú.
  • Cerca nella cronologia di Google Chrome le visite alle principali banche brasiliane: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi e Bradesco.

Il loader utilizza il process hollowing e il caricamento intermedio di PE tramite file TDA/DMP per iniettare il trojan in memoria, ottenendo stealth e persistenza. Se il processo trojan viene terminato, si reinietta automaticamente quando la vittima accede a un sito bancario.

Funzionalità del Trojan: ricognizione aggressiva e furto di credenziali

Il trojan di Water Saci presenta funzionalità avanzate di monitoraggio, controllo e furto di dati, tra cui:

  • Monitoraggio del titolo della finestra per rilevare piattaforme bancarie o di criptovaluta.
  • Chiusura forzata del browser per riaprire i siti sotto il controllo dell'aggressore.
  • Ricognizione di host e sistemi tramite query WMI.
  • Modifiche al registro per la persistenza.
  • Comunicazione C2 per il controllo remoto.
  • Le operazioni supportate includono:
  • Invio di informazioni di sistema
  • Tastiera e cattura dello schermo
  • Simulazione dell'attività del topo
  • Operazioni sui file (caricamento/scaricamento)
  • Enumerazione delle finestre
  • Creazione di falsi overlay bancari

Questa funzionalità rispecchia i trojan bancari focalizzati sull'America Latina come Casbaneiro, riflettendo la continuità strutturale e comportamentale e impiegando al contempo meccanismi di distribuzione più avanzati.

Propagazione di WhatsApp basata su Python

Un'innovazione degna di nota nella campagna è lo script Python che propaga il malware tramite WhatsApp Web utilizzando lo strumento di automazione del browser Selenium. Le prove suggeriscono che Water Saci potrebbe aver utilizzato modelli linguistici di grandi dimensioni o strumenti di traduzione del codice per trasferire la logica di propagazione originale di PowerShell a Python. Gli output della console includono persino emoji, evidenziando la sofisticatezza del nuovo script.

Sfruttando la fiducia e la portata di WhatsApp, Water Saci può auto-propagare malware su larga scala, aggirando le difese tradizionali e compromettendo rapidamente le vittime.

Conclusione: una nuova era di minacce informatiche basate sulla messaggistica

La campagna Water Saci evidenzia una tendenza in crescita: i criminali informatici sfruttano piattaforme legittime come WhatsApp per distribuire malware complessi. Combinando ingegneria sociale, sviluppo di script assistito dall'intelligenza artificiale e distribuzione di malware in più fasi, gli autori delle minacce possono mantenere infezioni persistenti da trojan bancari eludendo i controlli di sicurezza convenzionali.

Questo caso sottolinea la necessità di una maggiore vigilanza, di una solida protezione degli endpoint e di una maggiore consapevolezza da parte degli utenti, in particolare in regioni come il Brasile, dove le piattaforme di messaggistica svolgono un ruolo centrale nella comunicazione quotidiana.

Tendenza

I più visti

Caricamento in corso...