Vairāku licenču atlaides piedāvājums
Draudu datu bāze Banku Trojas zirgs Banku Trojas zirgs Water Saci

Banku Trojas zirgs Water Saci

Līdz Mezo. gadam Banku Trojas zirgs, Advanced Persistent Threat (APT), Ļaunprātīga programmatūra mobilajām ierīcēm. gadā
Tulkot uz:

Kibernoziedznieku operācijas turpina attīstīties, un Brazīlijas apdraudējumu izpildītājs Votersači ir nodemonstrējis ievērojamu lēcienu izsmalcinātībā. Jaunākās kampaņas izmanto daudzslāņu inficēšanās ķēdes, izmantojot HTA failus, PDF failus un WhatsApp, lai izplatītu banku Trojas zirgu, kas ar vēl nebijušu efektivitāti mērķē uz Brazīlijas lietotājiem.

Vairāku formātu uzbrukuma ķēde: no PowerShell līdz Python

Jaunākais uzbrukumu vilnis iezīmē būtiskas izmaiņas Votersači taktikā. Iepriekš, kad apdraudējumu aģents paļāvās uz PowerShell, tagad izmanto Python balstītu variantu, kas izplata ļaunprogrammatūru tārpu veidā, izmantojot WhatsApp Web.

Šīs uzlabotās uzbrukuma ķēdes galvenie elementi ir:

PDF failu ēsmas : Cietušie saņem PDF failus ar norādījumiem atjaunināt Adobe Reader, noklikšķinot uz ļaunprātīgas saites.

HTA faili : Izpildot šos failus, tiek palaisti Visual Basic skripti, kas palaiž PowerShell komandas, lai ielādētu vērtumus, tostarp MSI instalētāju Trojas zirgam un Python skriptu, kas atbild par WhatsApp izplatīšanu.

Šī vairāku formātu pieeja parāda, kā Water Saci ir slāņojis savus uzbrukuma mehānismus, iespējams, izmantojot mākslīgo intelektu vai automatizētus rīkus, lai tulkotu skriptus no PowerShell uz Python. Tas palielina ļaunprogrammatūras piegādes saderību, ātrumu, noturību un uzturēšanas iespējas.

MSI instalētājs un uz AutoIt balstīts Trojas zirgu ielādētājs

MSI instalētājs kalpo kā banku Trojas zirga piegādes mehānisms. Tā AutoIt skripts veic vairākas kritiskas funkcijas:

  • Nodrošina, ka darbojas tikai viens Trojas zirga eksemplārs, pārbaudot marķiera failu (executed.dat) un paziņojot uzbrucēja kontrolētajam serverim.
  • Pirms banku darbību saistītu failu un lietojumprogrammu, tostarp Bradesco, Warsaw, Topaz OFD, Sicoob un Itaú, skenēšanas pārbauda sistēmas valodas iestatījumus (portugāļu-Brazīlija).
  • Google Chrome vēsturē tiek meklēti apmeklējumi lielākajās Brazīlijas bankās: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi un Bradesco.

Ielādētājs izmanto procesa tukšošanu un starpposma PE ielādi, izmantojot TDA/DMP failus, lai ievadītu Trojas zirgu atmiņā, panākot slepenību un noturību. Ja Trojas zirga process tiek pārtraukts, tas automātiski tiek atkārtoti ievadīts, kad upuris piekļūst bankas vietnei.

Trojas zirga funkcionalitāte: agresīva izlūkošana un akreditācijas datu zādzība

Water Saci trojas zirgam ir uzlabotas uzraudzības, kontroles un datu zādzības iespējas, tostarp:

  • Logu nosaukumu uzraudzība, lai atklātu banku vai kriptovalūtu platformas.
  • Piespiedu pārlūkprogrammas aizvēršana, lai atkārtoti atvērtu vietnes, kas atrodas uzbrucēja kontrolē.
  • Resursdatora un sistēmas izpēte, izmantojot WMI vaicājumus.
  • Reģistra modifikācijas noturības nodrošināšanai.
  • C2 komunikācija tālvadībai.
  • Atbalstītās darbības ietver:
  • Sistēmas informācijas sūtīšana
  • Tastatūra un ekrāna uzņemšana
  • Peles aktivitātes simulēšana
  • Failu operācijas (augšupielāde/lejupielāde)
  • Logu uzskaitījums
  • Viltus banku pārklājumu izveide

Šī funkcionalitāte atspoguļo uz LATAM orientētus banku Trojas zirgus, piemēram, Casbaneiro, atspoguļojot strukturālo un uzvedības nepārtrauktību, vienlaikus izmantojot modernākus piegādes mehānismus.

Python balstītā WhatsApp izplatīšana

Ievērojams kampaņas jauninājums ir Python skripts, kas izplata ļaunprogrammatūru, izmantojot WhatsApp Web, izmantojot pārlūkprogrammas automatizācijas rīku Selenium. Pierādījumi liecina, ka Water Saci, iespējams, ir izmantojis lielus valodu modeļus vai koda tulkošanas rīkus, lai pārnestu sākotnējo PowerShell izplatīšanas loģiku uz Python. Konsoles izvadēs ir iekļautas pat emocijzīmes, kas uzsver jaunā skripta sarežģītību.

Izmantojot WhatsApp uzticību un sasniedzamību, Water Saci var plašā mērogā pats izplatīt ļaunprogrammatūru, apejot tradicionālās aizsardzības metodes un ātri apdraudot upurus.

Secinājums: Jauna ziņojumapmaiņā balstītu kiberdraudu ēra

Kampaņa “Water Saci” izceļ pieaugošu tendenci: kibernoziedznieki izmanto likumīgas platformas, piemēram, WhatsApp, lai izplatītu sarežģītu ļaunprogrammatūru. Apvienojot sociālo inženieriju, mākslīgā intelekta atbalstītu skriptu izstrādi un daudzpakāpju ļaunprogrammatūras piegādi, apdraudējumu izpildītāji var uzturēt pastāvīgas banku Trojas zirgu infekcijas, vienlaikus apejot tradicionālās drošības kontroles.

Šis gadījums uzsver nepieciešamību pēc pastiprinātas modrības, spēcīgas galapunktu aizsardzības un lietotāju informētības, jo īpaši tādos reģionos kā Brazīlija, kur ziņojumapmaiņas platformām ir galvenā loma ikdienas komunikācijā.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
30,648
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...