Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Bankieren Trojan Water Saci Banking Trojan

Water Saci Banking Trojan

Tegen Mezo in Bankieren Trojan, Geavanceerde aanhoudende dreiging (APT), Mobiele malware
Vertalen naar:

Cybercriminele activiteiten blijven zich ontwikkelen en de Braziliaanse cybercrimineel Water Saci heeft een opmerkelijke sprong voorwaarts in verfijning laten zien. Recente campagnes maken gebruik van meerlaagse infectieketens met HTA-bestanden, pdf's en WhatsApp om een bankingtrojan te verspreiden, die Braziliaanse gebruikers met ongekende efficiëntie aanvalt.

Multi-Format Aanvalsketen: Van PowerShell naar Python

De laatste golf markeert een significante verschuiving in de tactieken van Water Saci. Voorheen vertrouwde de aanvaller op PowerShell, maar nu maakt hij gebruik van een Python-variant die malware op wormachtige wijze verspreidt via WhatsApp Web.

Belangrijke elementen van deze verbeterde aanvalsketen zijn:

PDF-lokmiddelen : Slachtoffers ontvangen PDF-bestanden met de instructie om Adobe Reader bij te werken. Ze moeten hiervoor op een schadelijke link klikken.

HTA-bestanden : Wanneer deze bestanden worden uitgevoerd, voeren ze Visual Basic-scripts uit die PowerShell-opdrachten starten om payloads op te halen, waaronder een MSI-installatieprogramma voor de trojan en het Python-script dat verantwoordelijk is voor de WhatsApp-verspreiding.

Deze multi-format aanpak laat zien hoe Water Saci zijn aanvalsmechanismen heeft gelaagd, waarschijnlijk met behulp van AI of geautomatiseerde tools om scripts van PowerShell naar Python te vertalen. Dit verhoogt de compatibiliteit, snelheid, veerkracht en onderhoudbaarheid van de malware-distributie.

MSI Installer & AutoIt-gebaseerde Trojan Loader

Het MSI-installatieprogramma dient als aflevermechanisme voor de bankingtrojan. Het AutoIt-script voert verschillende cruciale functies uit:

  • Zorgt ervoor dat er maar één exemplaar van de trojan actief is door te controleren op een markerbestand (executed.dat) en een door de aanvaller beheerde server te waarschuwen.
  • Controleert de taalinstellingen van het systeem (Portugees-Brazilië) voordat er wordt gescand op bankgerelateerde bestanden en toepassingen, waaronder Bradesco, Warsaw, Topaz OFD, Sicoob en Itaú.
  • Doorzoekt de geschiedenis van Google Chrome voor bezoeken aan grote Braziliaanse banken: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi en Bradesco.

De loader maakt gebruik van procesholling en tussentijds PE-laden via TDA/DMP-bestanden om de trojan in het geheugen te injecteren, wat zorgt voor stealth en persistentie. Als het trojan-proces wordt beëindigd, wordt het automatisch opnieuw geïnjecteerd wanneer het slachtoffer een bankwebsite bezoekt.

Trojaanse functionaliteit: agressieve verkenning en diefstal van inloggegevens

De trojan van Water Saci beschikt over geavanceerde mogelijkheden voor monitoring, controle en datadiefstal, waaronder:

  • Bewaking van venstertitels om bank- of cryptocurrencyplatformen te detecteren.
  • Gedwongen browserbeëindiging om sites onder controle van de aanvaller opnieuw te openen.
  • Host- en systeemverkenning via WMI-query's.
  • Wijzigingen in het register voor persistentie.
  • C2-communicatie voor afstandsbediening.
  • Ondersteunde bewerkingen omvatten:
  • Systeeminformatie verzenden
  • Toetsenbord- en schermopname
  • Simulatie van muisactiviteit
  • Bestandsbewerkingen (uploaden/downloaden)
  • Vensteropsomming
  • Het creëren van nep-bankoverlays

Deze functionaliteit is vergelijkbaar met op Latijns-Amerika gerichte bankingtrojans zoals Casbaneiro. Deze trojans weerspiegelen structurele en gedragsmatige continuïteit, terwijl er gebruik wordt gemaakt van geavanceerdere afleveringsmechanismen.

Python-gebaseerde WhatsApp-propagatie

Een opvallende innovatie in de campagne is het Python-script dat de malware verspreidt via WhatsApp Web met behulp van de Selenium-browserautomatiseringstool. Er zijn aanwijzingen dat Water Saci mogelijk grote taalmodellen of codevertaaltools heeft gebruikt om de oorspronkelijke PowerShell-propagatielogica naar Python te porteren. De console-uitvoer bevat zelfs emoji's, wat de verfijning van het nieuwe script benadrukt.

Door misbruik te maken van het vertrouwen en bereik van WhatsApp, kan Water Saci op grote schaal malware verspreiden, waarbij de traditionele verdedigingsmechanismen worden omzeild en slachtoffers snel worden gecompromitteerd.

Conclusie: een nieuw tijdperk van op berichten gebaseerde cyberdreigingen

De campagne Water Saci benadrukt een groeiende trend: cybercriminelen gebruiken legitieme platforms zoals WhatsApp als wapen om complexe malware te verspreiden. Door social engineering, AI-ondersteunde scriptontwikkeling en meertraps malware-distributie te combineren, kunnen cybercriminelen hardnekkige banking trojan-infecties in stand houden en tegelijkertijd conventionele beveiligingsmaatregelen omzeilen.

Deze zaak onderstreept de noodzaak van verhoogde waakzaamheid, robuuste eindpuntbeveiliging en gebruikersbewustzijn, met name in regio's als Brazilië, waar berichtenplatforms een centrale rol spelen in de dagelijkse communicatie.

Trending

Meest bekeken

Bezig met laden...