Скидка на мультилицензию
База данных угроз Банковский троян Водный банковский троян Saci

Водный банковский троян Saci

К Mezo году в Банковский троян, Расширенная постоянная угроза (APT), Вредоносное ПО для мобильных устройств году
Перевести на:

Киберпреступные операции продолжают развиваться, и бразильская группировка Water Saci продемонстрировала поразительный скачок в плане изощрённости. В недавних кампаниях используются многоуровневые цепочки заражения с использованием HTA-файлов, PDF-файлов и WhatsApp для распространения банковского трояна, атакующего бразильских пользователей с беспрецедентной эффективностью.

Многоформатная цепочка атак: от PowerShell до Python

Последняя волна атак знаменует собой существенное изменение тактики Water Saci. Ранее полагаясь на PowerShell, злоумышленники теперь используют версию на базе Python, которая распространяет вредоносное ПО подобно червю через WhatsApp Web.

Ключевые элементы этой усовершенствованной цепочки атак включают в себя:

PDF-приманки : жертвы получают PDF-файлы с инструкцией обновить Adobe Reader, щелкнув вредоносную ссылку.

Файлы HTA : при запуске эти файлы запускают сценарии Visual Basic, которые запускают команды PowerShell для извлечения полезных данных, включая установщик MSI для трояна и сценарий Python, отвечающий за распространение WhatsApp.

Этот многоформатный подход демонстрирует, как Water Saci использует многоуровневые механизмы атак, вероятно, используя ИИ или автоматизированные инструменты для перевода скриптов из PowerShell в Python. Это повышает совместимость, скорость, устойчивость и удобство доставки вредоносного ПО.

Установщик MSI и загрузчик троянов на базе AutoIt

Механизмом доставки банковского трояна служит инсталлятор MSI. Его скрипт AutoIt выполняет несколько важных функций:

  • Гарантирует, что запущен только один экземпляр трояна, проверяя наличие файла-маркера (executed.dat) и уведомляя об этом сервер, контролируемый злоумышленником.
  • Проверяет языковые настройки системы (португальский (Бразилия)) перед сканированием файлов и приложений, связанных с банковской деятельностью, включая Bradesco, Warsaw, Topaz OFD, Sicoob и Itaú.
  • Ищет в истории Google Chrome посещения крупных бразильских банков: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi и Bradesco.

Загрузчик использует подмену процессов и промежуточную загрузку PE через файлы TDA/DMP для внедрения трояна в память, обеспечивая скрытность и устойчивость. Если процесс трояна завершается, он автоматически внедряется повторно при доступе жертвы к банковскому сайту.

Функциональность трояна: агрессивная разведка и кража учетных данных

Троян Water Saci демонстрирует расширенные возможности мониторинга, контроля и кражи данных, включая:

  • Мониторинг заголовков окон для обнаружения банковских или криптовалютных платформ.
  • Принудительное завершение работы браузера для повторного открытия сайтов, находящихся под контролем злоумышленника.
  • Разведка хостов и систем с помощью запросов WMI.
  • Изменения реестра для сохранения.
  • Связь C2 для дистанционного управления.
  • Поддерживаемые операции включают в себя:
  • Отправка системной информации
  • Захват клавиатуры и экрана
  • Имитация активности мыши
  • Файловые операции (загрузка/выгрузка)
  • Перечисление окон
  • Создание поддельных банковских оверлеев

Эта функциональность аналогична банковским троянам, ориентированным на Латинскую Америку, таким как Casbaneiro, отражая структурную и поведенческую преемственность, но при этом используя более продвинутые механизмы доставки.

Распространение WhatsApp на основе Python

Заметным нововведением кампании стал скрипт Python, распространяющий вредоносное ПО через WhatsApp Web с помощью инструмента автоматизации браузера Selenium. Имеются данные, указывающие на то, что Water Saci, возможно, использовал крупные языковые модели или инструменты трансляции кода для переноса исходной логики распространения PowerShell на Python. Выводимые в консоль данные даже включают эмодзи, что подчёркивает сложность нового скрипта.

Используя доверие и охват WhatsApp, Water Saci может самостоятельно распространять вредоносное ПО в больших масштабах, обходя традиционные средства защиты и быстро подвергая риску жертв.

Заключение: новая эра киберугроз, основанных на обмене сообщениями

Кампания «Water Saci» выявляет растущую тенденцию: киберпреступники используют легитимные платформы, такие как WhatsApp, для развертывания сложного вредоносного ПО. Сочетая социальную инженерию, разработку скриптов с использованием искусственного интеллекта и многоэтапную доставку вредоносного ПО, злоумышленники могут поддерживать постоянное заражение банковскими троянами, обходя традиционные средства безопасности.

Этот случай подчеркивает необходимость повышенной бдительности, надежной защиты конечных точек и осведомленности пользователей, особенно в таких регионах, как Бразилия, где платформы обмена сообщениями играют центральную роль в ежедневном общении.

В тренде

Lionmerks.com

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Сохранять бдительность при пользовании интернетом крайне важно, особенно учитывая, что мошеннические веб-сайты продолжают совершенствоваться, пытаясь манипулировать пользователями. Страницы,...

Trustedspotsearch.com

Мошеннические сайты, Рекламное ПО, Потенциально нежелательные программы
Защита системы от навязчивого и ненадёжного ПО крайне важна для обеспечения безопасного и надёжного сёрфинга. Потенциально нежелательные программы (ПНП) часто маскируются под полезные инструменты,...

Cosollic.com

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Крайне важно сохранять бдительность при просмотре веб-страниц, поскольку многие веб-сайты сегодня пытаются ввести пользователей в заблуждение, используя обманные приемы, подвергающие их риску...

Наиболее просматриваемые

Загрузка...