Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Trojan Perbankan Trojan Perbankan Saci Air

Trojan Perbankan Saci Air

Menjelang Mezo pada Trojan Perbankan, Ancaman Berterusan Lanjutan (APT), Perisian Hasad Mudah Alih
Terjemahkan ke

Operasi jenayah siber terus berkembang, dan pelakon ancaman Brazil Water Saci telah menunjukkan lonjakan yang luar biasa dalam kecanggihan. Kempen baru-baru ini memanfaatkan rantai jangkitan berbilang lapisan menggunakan fail HTA, PDF dan WhatsApp untuk menyebarkan trojan perbankan, menyasarkan pengguna Brazil dengan kecekapan yang tidak pernah berlaku sebelum ini.

Rantaian Serangan Pelbagai Format: Daripada PowerShell kepada Python

Gelombang terkini menandakan perubahan ketara dalam taktik Water Saci. Sebelum ini bergantung pada PowerShell, pelakon ancaman itu kini menggunakan varian berasaskan Python yang menyebarkan perisian hasad dalam fesyen seperti cacing melalui WhatsApp Web.

Elemen utama rantaian serangan yang dipertingkatkan ini termasuk:

Gewang PDF : Mangsa menerima fail PDF yang mengarahkan mereka untuk mengemas kini Adobe Reader dengan mengklik pautan berniat jahat.

Fail HTA : Apabila dilaksanakan, fail ini menjalankan Skrip Asas Visual yang melancarkan arahan PowerShell untuk mengambil muatan, termasuk pemasang MSI untuk trojan dan skrip Python yang bertanggungjawab untuk penyebaran WhatsApp.

Pendekatan berbilang format ini menunjukkan cara Water Saci telah melapisi mekanisme serangannya, mungkin menggunakan AI atau alatan automatik untuk menterjemah skrip daripada PowerShell kepada Python. Ini meningkatkan keserasian, kelajuan, daya tahan dan kebolehselenggaraan penghantaran perisian hasad.

Pemasang MSI & Pemuat Trojan Berasaskan AutoIt

Pemasang MSI berfungsi sebagai mekanisme penghantaran untuk trojan perbankan. Skrip AutoItnya melaksanakan beberapa fungsi kritikal:

  • Memastikan hanya satu contoh trojan sedang berjalan dengan menyemak fail penanda (executed.dat) dan memberitahu pelayan dikawal penyerang.
  • Mengesahkan tetapan bahasa sistem (Portugis-Brazil) sebelum mengimbas fail dan aplikasi berkaitan perbankan, termasuk Bradesco, Warsaw, Topaz OFD, Sicoob dan Itaú.
  • Mencari sejarah Google Chrome untuk lawatan ke bank utama Brazil: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi dan Bradesco.

Pemuat menggunakan proses hollowing dan pemuatan PE perantaraan melalui fail TDA/DMP untuk menyuntik trojan ke dalam memori, mencapai stealth dan ketekunan. Jika proses trojan ditamatkan, ia secara automatik menyuntik semula apabila mangsa mengakses tapak perbankan.

Fungsi Trojan: Peninjauan Agresif & Kecurian Kredensial

Trojan Water Saci mempamerkan keupayaan lanjutan untuk pemantauan, kawalan dan kecurian data, termasuk:

  • Pemantauan tajuk tetingkap untuk mengesan platform perbankan atau mata wang kripto.
  • Penamatan pelayar paksa untuk membuka semula tapak di bawah kawalan penyerang.
  • Peninjauan hos dan sistem melalui pertanyaan WMI.
  • Pengubahsuaian pendaftaran untuk kegigihan.
  • Komunikasi C2 untuk alat kawalan jauh.
  • Operasi yang disokong termasuk:
  • Menghantar maklumat sistem
  • Papan kekunci dan tangkapan skrin
  • Mensimulasikan aktiviti tetikus
  • Operasi fail (muat naik/muat turun)
  • Penghitungan tingkap
  • Mencipta tindanan perbankan palsu

Fungsi ini mencerminkan trojan perbankan tertumpu LATAM seperti Casbaneiro, mencerminkan kesinambungan struktur dan tingkah laku sambil menggunakan mekanisme penghantaran yang lebih maju.

Penyebaran WhatsApp Berasaskan Python

Inovasi yang ketara dalam kempen ini ialah skrip Python yang menyebarkan perisian hasad melalui WhatsApp Web menggunakan alat automasi penyemak imbas Selenium. Bukti menunjukkan Water Saci mungkin telah menggunakan model bahasa besar atau alat terjemahan kod untuk memindahkan logik penyebaran PowerShell yang asal kepada Python. Output konsol juga termasuk emoji, menyerlahkan kecanggihan skrip baharu.

Dengan mengeksploitasi kepercayaan dan jangkauan WhatsApp, Water Saci boleh menyebarkan sendiri perisian hasad secara berskala, memintas pertahanan tradisional dan menjejaskan mangsa dengan pantas.

Kesimpulan: Era Baharu Ancaman Siber Berasaskan Pemesejan

Kempen Water Saci menyerlahkan trend yang semakin meningkat: penjenayah siber menggunakan platform yang sah seperti WhatsApp untuk menggunakan perisian hasad yang kompleks. Dengan menggabungkan kejuruteraan sosial, pembangunan skrip berbantukan AI dan penghantaran perisian hasad berbilang peringkat, pelaku ancaman boleh mengekalkan jangkitan trojan perbankan yang berterusan sambil mengelak daripada kawalan keselamatan konvensional.

Kes ini menekankan keperluan untuk meningkatkan kewaspadaan, perlindungan titik akhir yang mantap dan kesedaran pengguna, terutamanya di wilayah seperti Brazil, di mana platform pemesejan memainkan peranan penting dalam komunikasi harian.

Trending

Paling banyak dilihat

Memuatkan...