Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Troian bancar Troian bancar Water Saci

Troian bancar Water Saci

Până în Mezo în Troian bancar, Amenințare persistentă avansată (APT), Malware mobil
Tradu in:

Operațiunile infracționale cibernetice continuă să evolueze, iar actorul brazilian Water Saci a demonstrat un salt remarcabil în sofisticare. Campaniile recente utilizează lanțuri de infecții multistratificate folosind fișiere HTA, PDF-uri și WhatsApp pentru a propaga un troian bancar, vizând utilizatorii brazilieni cu o eficiență fără precedent.

Lanțul de atacuri multi-format: de la PowerShell la Python

Cel mai recent val marchează o schimbare semnificativă în tacticile Water Saci. Anterior bazat pe PowerShell, atacatorul folosește acum o variantă bazată pe Python care răspândește programe malware asemănătoare unui vierme prin intermediul WhatsApp Web.

Elementele cheie ale acestui lanț de atac îmbunătățit includ:

Ademeniri PDF : Victimele primesc fișiere PDF care le instruiesc să actualizeze Adobe Reader făcând clic pe un link rău intenționat.

Fișiere HTA : Când sunt executate, aceste fișiere rulează scripturi Visual Basic care lansează comenzi PowerShell pentru a prelua sarcini utile, inclusiv un program de instalare MSI pentru troian și scriptul Python responsabil pentru propagarea WhatsApp.

Această abordare multiformat demonstrează modul în care Water Saci și-a stratificat mecanismele de atac, probabil folosind inteligența artificială sau instrumente automate pentru a traduce scripturi din PowerShell în Python. Acest lucru crește compatibilitatea, viteza, rezistența și mentenabilitatea distribuției de malware.

Instalator MSI și încărcător de troieni bazat pe AutoIt

Programul de instalare MSI servește drept mecanism de livrare pentru trojanul bancar. Scriptul său AutoIt îndeplinește mai multe funcții critice:

  • Se asigură că rulează o singură instanță a trojanului prin verificarea unui fișier marker (executed.dat) și notificarea unui server controlat de atacator.
  • Verifică setările lingvistice ale sistemului (portugheză-braziliană) înainte de scanarea fișierelor și aplicațiilor bancare, inclusiv Bradesco, Warsaw, Topaz OFD, Sicoob și Itaú.
  • Căută în istoricul Google Chrome pentru vizite la marile bănci braziliene: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi și Bradesco.

Încărcătorul folosește golirea proceselor și încărcarea PE intermediară prin fișiere TDA/DMP pentru a injecta trojanul în memorie, asigurând o ascundere și persistență. Dacă procesul trojanului este terminat, acesta îl reinjectează automat atunci când victima accesează un site bancar.

Funcționalitate troiană: Recunoaștere agresivă și furt de acreditări

Trojanul Water Saci prezintă capabilități avansate de monitorizare, control și furt de date, inclusiv:

  • Monitorizarea titlului ferestrei pentru detectarea platformelor bancare sau de criptomonedă.
  • Închiderea forțată a browserului pentru a redeschide site-urile aflate sub controlul atacatorului.
  • Recunoașterea gazdei și a sistemului prin interogări WMI.
  • Modificări ale registrului pentru persistență.
  • Comunicare C2 pentru control de la distanță.
  • Operațiunile suportate includ:
  • Trimiterea informațiilor de sistem
  • Tastatură și captură de ecran
  • Simularea activității mouse-ului
  • Operațiuni cu fișiere (încărcare/descărcare)
  • Enumerarea ferestrelor
  • Crearea de suprapuneri bancare false

Această funcționalitate reflectă troienii bancari axați pe LATAM, precum Casbaneiro, reflectând continuitatea structurală și comportamentală, utilizând în același timp mecanisme de livrare mai avansate.

Propagarea WhatsApp bazată pe Python

O inovație notabilă în cadrul campaniei este scriptul Python care propagă malware-ul prin intermediul WhatsApp Web folosind instrumentul de automatizare a browserului Selenium. Dovezile sugerează că Water Saci ar fi putut folosi modele lingvistice extinse sau instrumente de traducere a codului pentru a porta logica originală de propagare PowerShell în Python. Rezultatele consolei includ chiar și emoji-uri, subliniind sofisticarea noului script.

Prin exploatarea încrederii și a acoperirii WhatsApp, Water Saci poate auto-propaga programe malware la scară largă, ocolind apărările tradiționale și compromițând rapid victimele.

Concluzie: O nouă eră a amenințărilor cibernetice bazate pe mesagerie

Campania Water Saci evidențiază o tendință în creștere: infractorii cibernetici folosesc platforme legitime precum WhatsApp ca arme pentru a implementa programe malware complexe. Prin combinarea ingineriei sociale, a dezvoltării de scripturi asistate de inteligență artificială și a livrării de programe malware în mai multe etape, actorii amenințători pot menține infecții persistente cu troieni bancari, evitând în același timp controalele de securitate convenționale.

Acest caz subliniază necesitatea unei vigilențe sporite, a unei protecții robuste a endpoint-urilor și a unei conștientizări a utilizatorilor, în special în regiuni precum Brazilia, unde platformele de mesagerie joacă un rol central în comunicarea zilnică.

Trending

Cele mai văzute

Se încarcă...