वाटर सासी बैंकिङ ट्रोजन

साइबर आपराधिक कार्यहरू विकसित हुँदै गइरहेका छन्, र ब्राजिलियन खतरा अभिनेता वाटर साचीले परिष्कारमा उल्लेखनीय छलांग प्रदर्शन गरेका छन्। हालैका अभियानहरूले बैंकिङ ट्रोजन प्रचार गर्न HTA फाइलहरू, PDF हरू र WhatsApp प्रयोग गरेर बहु-स्तरीय संक्रमण शृङ्खलाहरू प्रयोग गर्छन्, अभूतपूर्व दक्षताका साथ ब्राजिलियन प्रयोगकर्ताहरूलाई लक्षित गर्दै।

बहु-ढाँचा आक्रमण श्रृंखला: पावरशेल देखि पाइथन सम्म

पछिल्लो लहरले वाटर साचीको रणनीतिमा उल्लेखनीय परिवर्तनलाई संकेत गर्दछ। पहिले पावरशेलमा निर्भर रहेको यो खतरा अभिनेताले अब पाइथन-आधारित संस्करण प्रयोग गर्दछ जसले व्हाट्सएप वेब मार्फत वर्म-जस्तो तरिकाले मालवेयर फैलाउँछ।

यस परिष्कृत आक्रमण श्रृंखलाका प्रमुख तत्वहरू समावेश छन्:

PDF Lures : पीडितहरूले दुर्भावनापूर्ण लिङ्कमा क्लिक गरेर Adobe Reader अपडेट गर्न निर्देशन दिने PDF फाइलहरू प्राप्त गर्छन्।

HTA फाइलहरू : कार्यान्वयन गर्दा, यी फाइलहरूले भिजुअल बेसिक स्क्रिप्टहरू चलाउँछन् जसले पेलोडहरू प्राप्त गर्न PowerShell आदेशहरू सुरु गर्दछ, जसमा ट्रोजनको लागि MSI स्थापनाकर्ता र व्हाट्सएप प्रसारको लागि जिम्मेवार पाइथन स्क्रिप्ट समावेश छ।

यो बहु-ढाँचा दृष्टिकोणले वाटर साचीले कसरी आफ्नो आक्रमण संयन्त्रहरूलाई तहबद्ध गरेको छ भनेर देखाउँछ, सम्भवतः पावरशेलबाट पाइथनमा स्क्रिप्टहरू अनुवाद गर्न एआई वा स्वचालित उपकरणहरू प्रयोग गरेर। यसले मालवेयर डेलिभरीको अनुकूलता, गति, लचिलोपन र मर्मतसम्भार बढाउँछ।

MSI स्थापनाकर्ता र AutoIt-आधारित ट्रोजन लोडर

MSI स्थापनाकर्ताले बैंकिङ ट्रोजनको लागि डेलिभरी संयन्त्रको रूपमा काम गर्दछ। यसको AutoIt स्क्रिप्टले धेरै महत्वपूर्ण कार्यहरू गर्दछ:

• मार्कर फाइल (executed.dat) जाँच गरेर र आक्रमणकारी-नियन्त्रित सर्भरलाई सूचित गरेर ट्रोजनको एउटा मात्र उदाहरण चलिरहेको छ भनी सुनिश्चित गर्दछ।
• ब्राडेस्को, वार्सा, टोपाज ओएफडी, सिकोब, र इटाउ लगायत बैंकिङ-सम्बन्धित फाइलहरू र अनुप्रयोगहरू स्क्यान गर्नु अघि प्रणाली भाषा सेटिङहरू (पोर्चुगिज-ब्राजिल) प्रमाणित गर्दछ।
• प्रमुख ब्राजिलियन बैंकहरूमा भ्रमणहरूको लागि Google Chrome इतिहास खोज्छ: Santander, Banco do Brasil, Caixa Economica Federal, Sicredi, र Bradesco।

लोडरले ट्रोजनलाई मेमोरीमा इन्जेक्ट गर्न TDA/DMP फाइलहरू मार्फत प्रक्रिया होलोइङ र मध्यवर्ती PE लोडिङ प्रयोग गर्दछ, जसले गर्दा स्टिल्थ र पर्सिस्टन्स प्राप्त हुन्छ। यदि ट्रोजन प्रक्रिया समाप्त भयो भने, पीडितले बैंकिङ साइट पहुँच गर्दा यो स्वचालित रूपमा पुन: इन्जेक्ट हुन्छ।

ट्रोजन कार्यक्षमता: आक्रामक जासूसी र प्रमाणपत्र चोरी

वाटर साचीको ट्रोजनले अनुगमन, नियन्त्रण र डेटा चोरीको लागि उन्नत क्षमताहरू प्रदर्शन गर्दछ, जसमा समावेश छन्:

• बैंकिङ वा क्रिप्टोकरेन्सी प्लेटफर्महरू पत्ता लगाउन विन्डो शीर्षक अनुगमन।
• आक्रमणकारी नियन्त्रणमा रहेका साइटहरू पुन: खोल्न जबरजस्ती ब्राउजर समाप्ति।
• WMI प्रश्नहरू मार्फत होस्ट र प्रणालीको पुनर्जागरण।
• स्थिरताको लागि रजिस्ट्री परिमार्जनहरू।
• रिमोट कन्ट्रोलको लागि C2 सञ्चार।
• समर्थित सञ्चालनहरू समावेश छन्:
• प्रणाली जानकारी पठाउँदै
• किबोर्ड र स्क्रिन क्याप्चर
• माउस गतिविधि अनुकरण गर्दै
• फाइल सञ्चालन (अपलोड/डाउनलोड)
• विन्डो गणना
• नक्कली बैंकिङ ओभरलेहरू सिर्जना गर्दै

यो कार्यक्षमताले कास्बेनेइरो जस्ता LATAM-केन्द्रित बैंकिङ ट्रोजनहरूलाई प्रतिबिम्बित गर्दछ, जसले थप उन्नत डेलिभरी संयन्त्रहरू प्रयोग गर्दा संरचनात्मक र व्यवहारिक निरन्तरतालाई प्रतिबिम्बित गर्दछ।

पाइथनमा आधारित व्हाट्सएप प्रचार

अभियानमा एउटा उल्लेखनीय नवीनता पाइथन स्क्रिप्ट हो जसले सेलेनियम ब्राउजर स्वचालन उपकरण प्रयोग गरेर व्हाट्सएप वेब मार्फत मालवेयर प्रचार गर्दछ। प्रमाणले सुझाव दिन्छ कि वाटर सासीले मूल पावरशेल प्रसार तर्कलाई पाइथनमा पोर्ट गर्न ठूला भाषा मोडेलहरू वा कोड-अनुवाद उपकरणहरू प्रयोग गरेको हुन सक्छ। कन्सोल आउटपुटहरूमा इमोजीहरू पनि समावेश छन्, जसले नयाँ स्क्रिप्टको परिष्कारलाई हाइलाइट गर्दछ।

व्हाट्सएपको विश्वास र पहुँचको शोषण गरेर, वाटर साचीले परम्परागत प्रतिरक्षालाई बाइपास गर्दै र पीडितहरूलाई द्रुत रूपमा सम्झौता गर्दै, व्यापक रूपमा मालवेयर स्व-प्रचार गर्न सक्छ।

निष्कर्ष: सन्देशमा आधारित साइबर खतराहरूको नयाँ युग

वाटर साची अभियानले बढ्दो प्रवृत्तिलाई प्रकाश पार्छ: साइबर अपराधीहरूले जटिल मालवेयर तैनाथ गर्न व्हाट्सएप जस्ता वैध प्लेटफर्महरूलाई हतियार बनाइरहेका छन्। सामाजिक इन्जिनियरिङ, एआई-सहायता प्राप्त स्क्रिप्ट विकास, र बहु-चरण मालवेयर डेलिभरीलाई संयोजन गरेर, खतरा अभिनेताहरूले परम्परागत सुरक्षा नियन्त्रणहरू बेवास्ता गर्दै निरन्तर बैंकिङ ट्रोजन संक्रमणहरू कायम राख्न सक्छन्।

यो केसले विशेष गरी ब्राजिल जस्ता क्षेत्रहरूमा, जहाँ सन्देश प्लेटफर्महरूले दैनिक सञ्चारमा केन्द्रीय भूमिका खेल्छन्, उच्च सतर्कता, बलियो अन्त्य बिन्दु सुरक्षा, र प्रयोगकर्ता जागरूकताको आवश्यकतालाई जोड दिन्छ।