다중 라이센스 할인 견적
위협 데이터베이스 뱅킹 트로이 목마 워터 사시 뱅킹 트로이 목마

워터 사시 뱅킹 트로이 목마

뱅킹 트로이 목마, 지능형 지속 위협(APT), 모바일 맬웨어년에 Mezo 년까지
번역 :

사이버 범죄 활동은 끊임없이 진화하고 있으며, 브라질의 위협 행위자 Water Saci는 놀라운 정교함을 보여주었습니다. 최근 캠페인은 HTA 파일, PDF, WhatsApp을 사용하는 다층적인 감염 사슬을 활용하여 뱅킹 트로이 목마를 유포하며 전례 없는 효율성으로 브라질 사용자를 공격합니다.

다중 형식 공격 체인: PowerShell에서 Python까지

최근의 공격은 Water Saci의 전술에 큰 변화를 가져왔습니다. 이전에는 PowerShell에 의존했던 이 위협 행위자는 이제 WhatsApp 웹을 통해 웜과 유사한 방식으로 악성코드를 유포하는 Python 기반 변종을 사용합니다.

이 강화된 공격 체인의 핵심 요소는 다음과 같습니다.

PDF 미끼 : 피해자는 악성 링크를 클릭하면 Adobe Reader를 업데이트하라는 내용의 PDF 파일을 받습니다.

HTA 파일 : 이 파일을 실행하면 트로이 목마를 위한 MSI 설치 프로그램과 WhatsApp 전파를 담당하는 Python 스크립트를 포함한 페이로드를 가져오는 PowerShell 명령을 실행하는 Visual Basic 스크립트가 실행됩니다.

이러한 다중 형식 접근 방식은 Water Saci가 AI 또는 자동화 도구를 사용하여 PowerShell에서 Python으로 스크립트를 변환하는 공격 메커니즘을 어떻게 계층화했는지 보여줍니다. 이를 통해 맬웨어 배포의 호환성, 속도, 복원력 및 유지 관리성이 향상됩니다.

MSI 설치 프로그램 및 AutoIt 기반 트로이 목마 로더

MSI 설치 프로그램은 뱅킹 트로이 목마의 배포 메커니즘 역할을 합니다. AutoIt 스크립트는 다음과 같은 몇 가지 중요한 기능을 수행합니다.

  • 마커 파일(executed.dat)을 확인하고 공격자가 제어하는 서버에 알림을 보내 트로이 목마가 하나만 실행되도록 합니다.
  • Bradesco, Warsaw, Topaz OFD, Sicoob, Itaú를 포함한 은행 관련 파일과 애플리케이션을 스캔하기 전에 시스템 언어 설정(포르투갈어-브라질)을 확인합니다.
  • Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi 및 Bradesco와 같은 주요 브라질 은행 방문에 대한 Google Chrome 기록을 검색합니다.

로더는 프로세스 할로잉과 TDA/DMP 파일을 통한 중간 PE 로딩을 사용하여 트로이 목마를 메모리에 주입하여 은밀성과 지속성을 확보합니다. 트로이 목마 프로세스가 종료되면 피해자가 은행 사이트에 접속할 때 자동으로 재주입됩니다.

트로이 목마 기능: 공격적 정찰 및 자격 증명 도용

Water Saci의 트로이 목마는 다음을 포함하여 모니터링, 제어 및 데이터 도용에 대한 고급 기능을 보여줍니다.

  • 은행 또는 암호화폐 플랫폼을 감지하기 위한 창 제목 모니터링.
  • 공격자가 제어하는 사이트를 다시 열려면 브라우저를 강제로 종료합니다.
  • WMI 쿼리를 통한 호스트 및 시스템 정찰.
  • 지속성을 위한 레지스트리 수정.
  • 원격 제어를 위한 C2 통신.
  • 지원되는 작업은 다음과 같습니다.
  • 시스템 정보 전송
  • 키보드 및 화면 캡처
  • 마우스 활동 시뮬레이션
  • 파일 작업(업로드/다운로드)
  • 창 열거
  • 가짜 은행 오버레이 만들기

이 기능은 Casbaneiro와 같은 LATAM 중심의 뱅킹 트로이 목마를 반영하여, 보다 진보된 전달 메커니즘을 사용하면서 구조적, 행동적 연속성을 반영합니다.

Python 기반 WhatsApp 전파

이 캠페인에서 주목할 만한 혁신은 Selenium 브라우저 자동화 도구를 사용하여 WhatsApp 웹을 통해 악성코드를 전파하는 Python 스크립트입니다. 증거에 따르면 Water Saci는 원래 PowerShell 전파 로직을 Python으로 이식하기 위해 대규모 언어 모델이나 코드 변환 도구를 사용했을 가능성이 있습니다. 콘솔 출력에는 이모티콘까지 포함되어 있어 새로운 스크립트의 정교함을 더욱 강조합니다.

Water Saci는 WhatsApp의 신뢰도와 도달 범위를 활용하여 대규모로 맬웨어를 자체적으로 확산시켜 기존 방어 수단을 우회하고 피해자를 빠르게 손상시킬 수 있습니다.

결론: 메시징 기반 사이버 위협의 새로운 시대

워터 사시(Water Saci) 캠페인은 사이버 범죄자들이 왓츠앱(WhatsApp)과 같은 합법적인 플랫폼을 무기로 삼아 복잡한 악성코드를 유포하는 추세가 확산되고 있음을 보여줍니다. 소셜 엔지니어링, AI 기반 스크립트 개발, 다단계 악성코드 유포를 결합함으로써, 위협 행위자들은 기존의 보안 체계를 우회하는 동시에 지속적인 뱅킹 트로이 목마 감염을 유지할 수 있습니다.

이 사례는 브라질과 같이 메시징 플랫폼이 일상적인 의사소통에서 중심적인 역할을 하는 지역에서 특히 경계를 강화하고, 엔드포인트를 튼튼하게 보호하고, 사용자 인식을 강화해야 할 필요성을 강조합니다.

트렌드

Lionmerks.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
인터넷을 탐색하는 동안 항상 주의를 기울이는 것은 필수적입니다. 특히 사기성 웹사이트가 사용자를 속이려는 시도를 끊임없이 진화시키고 있기 때문입니다. 합법적인 확인, 알림 또는 시스템 메시지를 모방하도록 설계된 페이지는 방문자를 보안 및 개인정보 보호 위험에 노출시키는 권한 또는 데이터를 추출하는 것을 목표로 하는 경우가 많습니다....

Trustedspotsearch.com

불량 웹사이트, 애드웨어, 잠재적으로 원하지 않는 프로그램
안전하고 신뢰할 수 있는 브라우징 환경을 유지하려면 시스템을 침입적이고 신뢰할 수 없는 소프트웨어로부터 보호하는 것이 필수적입니다. PUP(잠재적으로 원치 않는 프로그램)는 유용한 도구처럼 위장하는 경우가 많지만, 브라우저 설정을 은밀하게 변경하고, 사용자를 개인 정보 보호 위험에 노출시키며, 기기 성능을 저하시킬 수 있습니다....

Cosollic.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
오늘날 많은 웹사이트가 사용자를 보안 및 개인정보 보호 위험에 노출시키는 기만적인 수법으로 사용자를 현혹하려 하기 때문에, 웹서핑 중 주의 깊게 살펴보는 것은 필수적입니다. Cosollic.com 페이지가 대표적인 예입니다. 이 페이지는 방문자가 원치 않는 브라우저 알림을 활성화하고 의심스러운 제3자 콘텐츠와 상호작용하도록 유도하기 위해...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
48,927
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

Discord가 회색 화면에 멈춤

문제
38,776
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
36,779
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...