Rabatttilbud for flere lisenser
Trusseldatabase Bank Trojan Vann Saci Banking Trojan

Vann Saci Banking Trojan

Med Mezo i Bank Trojan, Advanced Persistent Threat (APT), Mobil skadelig programvare
Oversett til:

Nettkriminelle operasjoner fortsetter å utvikle seg, og den brasilianske trusselaktøren Water Saci har vist et bemerkelsesverdig sprang i raffinement. Nylige kampanjer utnytter flerlags infeksjonskjeder ved hjelp av HTA-filer, PDF-er og WhatsApp for å spre en banktrojaner, som retter seg mot brasilianske brukere med enestående effektivitet.

Angrepskjede i flere formater: Fra PowerShell til Python

Den siste bølgen markerer et betydelig skifte i Water Sacis taktikk. Trusselaktøren, som tidligere var avhengig av PowerShell, bruker nå en Python-basert variant som sprer skadelig programvare på en ormlignende måte via WhatsApp Web.

Viktige elementer i denne forbedrede angrepskjeden inkluderer:

PDF-lokkemidler : Ofre mottar PDF-filer som ber dem om å oppdatere Adobe Reader ved å klikke på en ondsinnet lenke.

HTA-filer : Når disse filene kjøres, kjører de Visual Basic-skript som starter PowerShell-kommandoer for å hente nyttelaster, inkludert et MSI-installasjonsprogram for trojaneren og Python-skriptet som er ansvarlig for WhatsApp-forplantning.

Denne flerformattilnærmingen demonstrerer hvordan Water Saci har lagt angrepsmekanismene sine lagvis, sannsynligvis ved hjelp av AI eller automatiserte verktøy for å oversette skript fra PowerShell til Python. Dette øker kompatibiliteten, hastigheten, robustheten og vedlikeholdbarheten til leveringen av skadelig programvare.

MSI Installer og AutoIt-basert trojanerlaster

MSI-installasjonsprogrammet fungerer som leveringsmekanisme for banktrojaneren. AutoIt-skriptet utfører flere kritiske funksjoner:

  • Sørger for at bare én forekomst av trojaneren kjører ved å se etter en markørfil (executed.dat) og varsle en angriperkontrollert server.
  • Verifiserer systemspråkinnstillingene (portugisisk-Brasil) før skanning etter bankrelaterte filer og applikasjoner, inkludert Bradesco, Warszawa, Topaz OFD, Sicoob og Itaú.
  • Søker i Google Chrome-historikken etter besøk til store brasilianske banker: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi og Bradesco.

Lasteren bruker prosessuthuling og mellomliggende PE-lasting via TDA/DMP-filer for å injisere trojaneren i minnet, noe som oppnår skjulthet og utholdenhet. Hvis trojanerprosessen avsluttes, injiseres den automatisk på nytt når offeret åpner et banknettsted.

Trojanerfunksjonalitet: Aggressiv rekognosering og legitimasjonstyveri

Water Sacis trojaner har avanserte muligheter for overvåking, kontroll og datatyveri, inkludert:

  • Overvåking av vindustittel for å oppdage bank- eller kryptovalutaplattformer.
  • Tvungen nettleseravslutning for å gjenåpne nettsteder under angriperens kontroll.
  • Verts- og systemrekognosering gjennom WMI-spørringer.
  • Registerendringer for persistens.
  • C2-kommunikasjon for fjernkontroll.
  • Støttede operasjoner inkluderer:
  • Sender systeminformasjon
  • Tastatur og skjermbilde
  • Simulering av museaktivitet
  • Filoperasjoner (opplasting/nedlasting)
  • Vindusopplisting
  • Lage falske bankoverlegg

Denne funksjonaliteten speiler LATAM-fokuserte banktrojanere som Casbaneiro, og gjenspeiler strukturell og atferdsmessig kontinuitet samtidig som den bruker mer avanserte leveringsmekanismer.

Python-basert WhatsApp-forplantning

En bemerkelsesverdig innovasjon i kampanjen er Python-skriptet som sprer skadevaren via WhatsApp Web ved hjelp av nettleserautomatiseringsverktøyet Selenium. Bevis tyder på at Water Saci kan ha brukt store språkmodeller eller kodeoversettelsesverktøy for å portere den opprinnelige PowerShell-forplantningslogikken til Python. Konsollutdata inkluderer til og med emojier, som fremhever det nye skriptets sofistikerte egenskaper.

Ved å utnytte WhatsApps tillit og rekkevidde kan Water Saci spre skadelig programvare i stor skala, omgå tradisjonelle forsvarsmekanismer og raskt kompromittere ofrene.

Konklusjon: En ny æra med meldingsbaserte cybertrusler

Water Saci-kampanjen fremhever en voksende trend: nettkriminelle som utnytter legitime plattformer som WhatsApp som våpen for å distribuere kompleks skadelig programvare. Ved å kombinere sosial manipulering, AI-assistert skriptutvikling og flertrinns levering av skadelig programvare, kan trusselaktører opprettholde vedvarende banktrojaninfeksjoner samtidig som de unngår konvensjonelle sikkerhetskontroller.

Denne saken understreker behovet for økt årvåkenhet, robust endepunktbeskyttelse og brukerbevissthet, spesielt i regioner som Brasil, hvor meldingsplattformer spiller en sentral rolle i den daglige kommunikasjonen.

Trender

Mest sett

Laster inn...