Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Bankininkystės Trojos arklys „Water Saci“ bankininkystės Trojos arklys

„Water Saci“ bankininkystės Trojos arklys

Autorius Mezo, Bankininkystės Trojos arklys, Išplėstinė nuolatinė grėsmė (APT), Kenkėjiška programa mobiliesiems
Versti į:

Kibernetinių nusikaltimų operacijos toliau vystosi, o Brazilijos grėsmių veikėjas „Water Saci“ pademonstravo nepaprastą šuolį rafinuotumo srityje. Naujausios kampanijos naudoja daugiasluoksnes užkrėtimo grandines, naudodamos HTA failus, PDF failus ir „WhatsApp“, kad platintų bankininkystės Trojos arklį, kuris precedento neturinčiu efektyvumu taikosi į Brazilijos vartotojus.

Kelių formatų atakų grandinė: nuo „PowerShell“ iki „Python“

Naujausia banga žymi reikšmingą „Water Saci“ taktikos pokytį. Anksčiau naudojęs „PowerShell“, kenkėjiškų programų kūrėjas dabar naudoja „Python“ pagrindu sukurtą variantą, kuris kenkėjiškas programas platina kirminų pavidalu per „WhatsApp Web“.

Pagrindiniai šios patobulintos atakos grandinės elementai yra šie:

PDF vilionės : Aukos gauna PDF failus, kuriuose nurodoma atnaujinti „Adobe Reader“ spustelėjus kenkėjišką nuorodą.

HTA failai : Paleidus šiuos failus, paleidžiami „Visual Basic“ scenarijai, kurie paleidžia „PowerShell“ komandas, kad būtų galima gauti naudingąją apkrovą, įskaitant MSI diegimo programą Trojos arkliui ir „Python“ scenarijų, atsakingą už „WhatsApp“ platinimą.

Šis kelių formatų metodas parodo, kaip „Water Saci“ susluoksniavo savo atakų mechanizmus, greičiausiai naudodama dirbtinį intelektą arba automatinius įrankius, kad išverstų scenarijus iš „PowerShell“ į „Python“. Tai padidina kenkėjiškų programų pristatymo suderinamumą, greitį, atsparumą ir prižiūrimumą.

MSI diegimo programa ir „AutoIt“ pagrindu sukurta Trojos arklys

MSI diegimo programa yra bankinio Trojos arklio pristatymo mechanizmas. Jos „AutoIt“ scenarijus atlieka keletą svarbių funkcijų:

  • Užtikrina, kad veiktų tik vienas Trojos arklio egzempliorius, patikrindamas žymeklio failą (executed.dat) ir pranešdamas užpuoliko kontroliuojamam serveriui.
  • Prieš nuskaitant su bankininkyste susijusius failus ir programas, įskaitant „Bradesco“, „Warsaw“, „Topaz OFD“, „Sicoob“ ir „Itaú“, patikrina sistemos kalbos nustatymus (portugalų (Brazilija).
  • Ieško „Google Chrome“ istorijoje apsilankymų didžiuosiuose Brazilijos bankuose: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi ir Bradesco.

Įkrovimo programa naudoja procesų ištuštinimą ir tarpinį PE įkėlimą per TDA/DMP failus, kad įterptų Trojos arklį į atmintį, taip užtikrindama nepastebimą ir pastovų veikimą. Jei Trojos arklio procesas nutraukiamas, jis automatiškai pakartotinai įterpiamas, kai auka prisijungia prie bankininkystės svetainės.

Trojos arklio funkcionalumas: agresyvi žvalgyba ir kredencialų vagystė

„Water Saci“ Trojos arklys pasižymi pažangiomis stebėjimo, kontrolės ir duomenų vagystės galimybėmis, įskaitant:

  • Langų pavadinimų stebėjimas, siekiant aptikti bankų ar kriptovaliutų platformas.
  • Priverstinis naršyklės uždarymas, siekiant iš naujo atidaryti užpuoliko kontroliuojamas svetaines.
  • Pagrindinio kompiuterio ir sistemos žvalgyba naudojant WMI užklausas.
  • Registro modifikacijos, skirtos išsaugoti duomenis.
  • C2 ryšys nuotoliniam valdymui.
  • Palaikomos operacijos apima:
  • Siunčiama sistemos informacija
  • Klaviatūra ir ekrano kopija
  • Pelės aktyvumo modeliavimas
  • Failų operacijos (įkėlimas / atsisiuntimas)
  • Langų išvardijimas
  • Netikrų bankininkystės perdangų kūrimas

Ši funkcija atspindi LATAM orientuotus bankinius Trojos arklius, tokius kaip „Casbaneiro“, atspindint struktūrinį ir elgesio tęstinumą, tuo pačiu naudojant pažangesnius pristatymo mechanizmus.

„WhatsApp“ platinimas „Python“ pagrindu

Pastebima kampanijos naujovė – „Python“ scenarijus, kuris platina kenkėjišką programą per „WhatsApp Web“ naudojant naršyklės automatizavimo įrankį „Selenium“. Įrodymai rodo, kad „Water Saci“ galėjo naudoti didelius kalbos modelius arba kodo vertimo įrankius, kad perkeltų originalią „PowerShell“ platinimo logiką į „Python“. Konsolės išvestyse netgi yra jaustukų, pabrėžiančių naujo scenarijaus sudėtingumą.

Pasinaudodama „WhatsApp“ pasitikėjimu ir pasiekiamumu, „Water Saci“ gali savarankiškai platinti kenkėjiškas programas dideliu mastu, apeidama tradicines apsaugos priemones ir greitai pakenkdama aukoms.

Išvada: nauja pranešimų pagrindu veikiančių kibernetinių grėsmių era

„Water Saci“ kampanija pabrėžia augančią tendenciją: kibernetiniai nusikaltėliai paverčia teisėtas platformas, tokias kaip „WhatsApp“, ginklu, kad galėtų dislokuoti sudėtingas kenkėjiškas programas. Derindami socialinę inžineriją, dirbtinio intelekto padedamą scenarijų kūrimą ir daugiapakopį kenkėjiškų programų platinimą, grėsmių kūrėjai gali nuolat palaikyti bankininkystės Trojos arklių infekcijas, apeidami įprastas saugumo kontrolės priemones.

Šis atvejis pabrėžia didesnio budrumo, patikimos galinių įrenginių apsaugos ir vartotojų sąmoningumo poreikį, ypač tokiuose regionuose kaip Brazilija, kur pranešimų platformos atlieka pagrindinį vaidmenį kasdienėje komunikacijoje.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
30,648
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...