Oferta rabatowa na wiele licencji
Baza danych zagrożeń Trojan bankowy Trojan bankowy Water Saci

Trojan bankowy Water Saci

Do Mezo w Trojan bankowy, Zaawansowane trwałe zagrożenie (APT), Mobilne złośliwe oprogramowanie
Przetłumacz na:

Operacje cyberprzestępców wciąż ewoluują, a brazylijski cyberprzestępca Water Saci wykazał się niezwykłym skokiem w wyrafinowaniu. Ostatnie kampanie wykorzystują wielowarstwowe łańcuchy infekcji, wykorzystując pliki HTA, pliki PDF i WhatsApp, do rozprzestrzeniania trojana bankowego, atakując brazylijskich użytkowników z niespotykaną dotąd skutecznością.

Wieloformatowy łańcuch ataków: od programu PowerShell do Pythona

Najnowsza fala ataków oznacza znaczącą zmianę w taktyce Water Saci. Wcześniej opierał się na PowerShellu, a teraz wykorzystuje wariant oparty na Pythonie, który rozprzestrzenia złośliwe oprogramowanie w sposób przypominający robaka za pośrednictwem WhatsApp Web.

Kluczowe elementy tego ulepszonego łańcucha ataku obejmują:

Przynęty w postaci plików PDF : Ofiary otrzymują pliki PDF z instrukcją, aby zaktualizować program Adobe Reader poprzez kliknięcie złośliwego łącza.

Pliki HTA : Po uruchomieniu pliki te uruchamiają skrypty języka Visual Basic, które uruchamiają polecenia programu PowerShell w celu pobrania ładunków, w tym instalatora MSI trojana i skryptu języka Python odpowiedzialnego za rozprzestrzenianie się komunikatora WhatsApp.

To wieloformatowe podejście pokazuje, jak Water Saci warstwowo rozłożyło mechanizmy ataku, prawdopodobnie wykorzystując sztuczną inteligencję lub narzędzia automatyczne do tłumaczenia skryptów z programu PowerShell na Pythona. Zwiększa to kompatybilność, szybkość, odporność i łatwość obsługi złośliwego oprogramowania.

Instalator MSI i program ładujący trojany oparty na AutoIt

Instalator MSI służy jako mechanizm dostarczania trojana bankowego. Jego skrypt AutoIt wykonuje kilka kluczowych funkcji:

  • Zapewnia, że uruchomiona jest tylko jedna instancja trojana, sprawdzając plik znacznika (executed.dat) i powiadamiając serwer kontrolowany przez atakującego.
  • Sprawdza ustawienia języka systemu (portugalski-brazylijski) przed skanowaniem plików i aplikacji związanych z bankowością, w tym Bradesco, Warsaw, Topaz OFD, Sicoob i Itaú.
  • Przeszukuje historię Google Chrome pod kątem wizyt w głównych brazylijskich bankach: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi i Bradesco.

Program ładujący wykorzystuje mechanizm „wydrążania” procesów i pośrednie ładowanie PE za pośrednictwem plików TDA/DMP, aby wstrzyknąć trojana do pamięci, zapewniając mu niewidzialność i trwałość. Jeśli proces trojana zostanie zakończony, automatycznie wstrzykuje się ponownie, gdy ofiara uzyska dostęp do witryny bankowej.

Funkcjonalność trojana: agresywny rekonesans i kradzież danych uwierzytelniających

Trojan Water Saci charakteryzuje się zaawansowanymi możliwościami monitorowania, kontroli i kradzieży danych, w tym:

  • Monitorowanie tytułów okien w celu wykrywania platform bankowych lub kryptowalutowych.
  • Wymuszone zamknięcie przeglądarki w celu ponownego otwarcia witryn kontrolowanych przez atakującego.
  • Rozpoznanie hosta i systemu poprzez zapytania WMI.
  • Modyfikacje rejestru w celu zapewnienia trwałości.
  • Komunikacja C2 do zdalnego sterowania.
  • Obsługiwane operacje obejmują:
  • Wysyłanie informacji systemowych
  • Klawiatura i zrzut ekranu
  • Symulowanie aktywności myszy
  • Operacje na plikach (przesyłanie/pobieranie)
  • Wyliczanie okien
  • Tworzenie fałszywych nakładek bankowych

Funkcjonalność ta odzwierciedla funkcjonalność trojanów bankowych przeznaczonych dla Ameryki Łacińskiej, takich jak Casbaneiro, odzwierciedlając ciągłość strukturalną i behawioralną przy jednoczesnym stosowaniu bardziej zaawansowanych mechanizmów dostarczania.

Propagacja WhatsApp oparta na Pythonie

Godną uwagi innowacją w kampanii jest skrypt w Pythonie, który rozprzestrzenia złośliwe oprogramowanie za pośrednictwem WhatsApp Web, wykorzystując narzędzie do automatyzacji przeglądarki Selenium. Dowody sugerują, że Water Saci mógł wykorzystać duże modele językowe lub narzędzia do tłumaczenia kodu, aby przenieść oryginalną logikę propagacji z programu PowerShell do Pythona. Wyniki w konsoli zawierają nawet emoji, co podkreśla wyrafinowanie nowego skryptu.

Wykorzystując zaufanie i zasięg WhatsApp, Water Saci może samodzielnie rozprzestrzeniać złośliwe oprogramowanie na dużą skalę, omijając tradycyjne zabezpieczenia i szybko narażając ofiary na niebezpieczeństwo.

Wnioski: Nowa era cyberzagrożeń opartych na wiadomościach

Kampania Water Saci uwydatnia rosnący trend: cyberprzestępcy wykorzystują legalne platformy, takie jak WhatsApp, do wdrażania złożonego złośliwego oprogramowania. Łącząc socjotechnikę, tworzenie skryptów wspomaganych sztuczną inteligencją i wieloetapowe dostarczanie złośliwego oprogramowania, cyberprzestępcy mogą utrzymywać uporczywe infekcje trojanami bankowymi, jednocześnie omijając konwencjonalne środki bezpieczeństwa.

Przypadek ten podkreśla potrzebę wzmożonej czujności, solidnej ochrony punktów końcowych i świadomości użytkowników, zwłaszcza w regionach takich jak Brazylia, gdzie platformy komunikacyjne odgrywają kluczową rolę w codziennej komunikacji.

Popularne

Najczęściej oglądane

Ładowanie...