Multilicenčná zľavová ponuka
Databáza hrozieb Bankový trójsky kôň Bankový trójsky kôň Water Saci

Bankový trójsky kôň Water Saci

Do roku Mezo v roku Bankový trójsky kôň, Pokročilá perzistentná hrozba (APT), Mobilný malvér
Preložiť do:

Kyberzločinecké operácie sa neustále vyvíjajú a brazílsky aktér Water Saci preukázal pozoruhodný skok v sofistikovanosti. Nedávne kampane využívajú viacvrstvové infekčné reťazce s použitím súborov HTA, PDF a WhatsApp na šírenie bankového trójskeho koňa, ktorý s bezprecedentnou účinnosťou cieli na brazílskych používateľov.

Reťazec útokov vo viacerých formátoch: od PowerShellu po Python

Najnovšia vlna útokov predstavuje významný posun v taktike spoločnosti Water Saci. Predtým sa útočník spoliehal na PowerShell, teraz však používa variant založený na Pythone, ktorý šíri malvér podobným červom prostredníctvom WhatsApp Web.

Medzi kľúčové prvky tohto vylepšeného reťazca útokov patria:

Návnady na PDF : Obeť dostane súbory PDF s pokynmi na aktualizáciu programu Adobe Reader kliknutím na škodlivý odkaz.

Súbory HTA : Po spustení tieto súbory spustia skripty Visual Basic, ktoré spúšťajú príkazy PowerShellu na načítanie údajov vrátane inštalátora MSI pre trójskeho koňa a skriptu Python zodpovedného za šírenie WhatsApp.

Tento viacformátový prístup demonštruje, ako spoločnosť Water Saci vrstvila svoje útočné mechanizmy, pravdepodobne pomocou umelej inteligencie alebo automatizovaných nástrojov na preklad skriptov z PowerShellu do Pythonu. To zvyšuje kompatibilitu, rýchlosť, odolnosť a udržiavateľnosť prenosu malvéru.

Inštalátor MSI a zavádzač trójskych koní založený na AutoIt

Inštalačný program MSI slúži ako mechanizmus doručovania bankového trójskeho koňa. Jeho skript AutoIt vykonáva niekoľko kľúčových funkcií:

  • Zabezpečí, aby bežala iba jedna inštancia trójskeho koňa, a to kontrolou súboru markerov (executed.dat) a upozornením servera ovládaného útočníkom.
  • Pred skenovaním súborov a aplikácií súvisiacich s bankovníctvom vrátane Bradesco, Warsaw, Topaz OFD, Sicoob a Itaú overuje nastavenia jazyka systému (portugalčina-brazílčina).
  • Vyhľadáva v histórii prehliadača Google Chrome návštevy veľkých brazílskych bánk: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi a Bradesco.

Zavádzač využíva procesné vyprázdnenie a medziľahlé PE načítanie prostredníctvom súborov TDA/DMP na vstreknutie trójskeho koňa do pamäte, čím dosahuje nenápadnosť a perzistenciu. Ak je proces trójskeho koňa ukončený, automaticky sa znova vloží, keď obeť pristupuje na bankovú stránku.

Funkcia trójskeho koňa: Agresívny prieskum a krádež prihlasovacích údajov

Trójsky kôň Water Saci vykazuje pokročilé možnosti monitorovania, kontroly a krádeže údajov vrátane:

  • Monitorovanie názvov okien na detekciu bankových alebo kryptomenových platforiem.
  • Nútené ukončenie prehliadača s cieľom opätovne otvoriť stránky pod kontrolou útočníka.
  • Prieskum hostiteľa a systému prostredníctvom dotazov WMI.
  • Úpravy registra pre pretrvávanie.
  • Komunikácia C2 pre diaľkové ovládanie.
  • Medzi podporované operácie patria:
  • Odosielanie systémových informácií
  • Klávesnica a snímanie obrazovky
  • Simulácia aktivity myši
  • Operácie so súbormi (nahrávanie/sťahovanie)
  • Výčet okien
  • Vytváranie falošných bankových prekrytí

Táto funkcionalita odzrkadľuje bankové trójske kone zamerané na LATAM, ako napríklad Casbaneiro, a odráža štrukturálnu a behaviorálnu kontinuitu a zároveň využíva pokročilejšie mechanizmy doručovania.

Šírenie WhatsAppu v jazyku Python

Pozoruhodnou inováciou v kampani je skript Pythonu, ktorý šíri malvér prostredníctvom WhatsApp Web pomocou automatizačného nástroja prehliadača Selenium. Dôkazy naznačujú, že Water Saci mohol použiť rozsiahle jazykové modely alebo nástroje na preklad kódu na portovanie pôvodnej logiky šírenia PowerShellu do Pythonu. Výstupy z konzoly dokonca obsahujú emoji, čo zdôrazňuje sofistikovanosť nového skriptu.

Využívaním dôvery a dosahu WhatsAppu môže Water Saci samovoľne šíriť malvér vo veľkom rozsahu, obchádzať tradičné obranné mechanizmy a rýchlo ohrozovať obete.

Záver: Nová éra kybernetických hrozieb založených na zasielaní správ

Kampaň Water Saci zdôrazňuje rastúci trend: kyberzločinci zneužívajú legitímne platformy ako WhatsApp na nasadzovanie komplexného malvéru. Kombináciou sociálneho inžinierstva, vývoja skriptov s pomocou umelej inteligencie a viacstupňového doručovania malvéru môžu útočníci udržiavať trvalé infekcie bankovými trójskymi koňmi a zároveň sa vyhýbať konvenčným bezpečnostným kontrolám.

Tento prípad zdôrazňuje potrebu zvýšenej ostražitosti, robustnej ochrany koncových bodov a informovanosti používateľov, najmä v regiónoch ako Brazília, kde platformy na odosielanie správ zohrávajú ústrednú úlohu v každodennej komunikácii.

Trendy

Najviac videné

Načítava...