Popust za več licenc
Podjetje o grožnjah bančni trojanec Trojanski konjenik Water Saci

Trojanski konjenik Water Saci

Do leta Mezo leta bančni trojanec, Napredna trajna grožnja (APT), Mobilna zlonamerna programska oprema
Prevedi v:

Kibernetske kriminalne operacije se še naprej razvijajo, brazilski akter grožnje Water Saci pa je pokazal izjemen preskok v prefinjenosti. Nedavne kampanje izkoriščajo večplastne verige okužb z datotekami HTA, PDF-ji in WhatsAppom za širjenje bančnega trojanca, ki cilja na brazilske uporabnike z izjemno učinkovitostjo.

Večformatna napadalna veriga: od PowerShella do Pythona

Najnovejši val napadov pomeni pomemben premik v taktiki podjetja Water Saci. Grožnje, ki se je prej zanašalo na PowerShell, zdaj uporabljajo različico, ki temelji na Pythonu in širi zlonamerno programsko opremo na način, podoben črvu, prek WhatsApp Web.

Ključni elementi te izboljšane napadalne verige vključujejo:

Vabe za PDF : Žrtve prejmejo datoteke PDF, ki jim naročijo, naj posodobijo Adobe Reader s klikom na zlonamerno povezavo.

Datoteke HTA : Ko se te datoteke izvedejo, zaženejo skripte Visual Basic, ki sprožijo ukaze PowerShell za pridobivanje koristnih podatkov, vključno z namestitvenim programom MSI za trojanca in skriptom Python, odgovornim za širjenje WhatsAppa.

Ta večformatni pristop prikazuje, kako je Water Saci svoje napadalne mehanizme razporedil po plasteh, verjetno z uporabo umetne inteligence ali avtomatiziranih orodij za prevajanje skript iz PowerShella v Python. To poveča združljivost, hitrost, odpornost in vzdrževanje dostave zlonamerne programske opreme.

Namestitveni program MSI in nalagalnik trojanskih konjev, ki temelji na AutoIt

Namestitveni program MSI služi kot mehanizem za dostavo bančnega trojanca. Njegov skript AutoIt opravlja več ključnih funkcij:

  • Zagotavlja, da se izvaja samo en primerek trojanca, tako da preveri datoteko z označevalcem (executed.dat) in o tem obvesti strežnik, ki ga nadzoruje napadalec.
  • Pred skeniranjem datotek in aplikacij, povezanih z bančništvom, vključno z Bradesco, Warsaw, Topaz OFD, Sicoob in Itaú, preveri nastavitve sistema (portugalščina-brazilija).
  • Išče v zgodovini Google Chroma za obiske večjih brazilskih bank: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi in Bradesco.

Nalagalnik uporablja izpraznitev procesov in vmesno nalaganje PE prek datotek TDA/DMP za vbrizgavanje trojanca v pomnilnik, s čimer doseže prikritost in vztrajnost. Če se trojanski proces prekine, se samodejno ponovno vbrizga, ko žrtev dostopa do bančnega spletnega mesta.

Funkcionalnost trojanca: Agresivno izvidovanje in kraja poverilnic

Trojanec Water Saci ima napredne zmogljivosti za spremljanje, nadzor in krajo podatkov, vključno z:

  • Spremljanje naslovov oken za zaznavanje bančnih ali kriptovalutnih platform.
  • Prisilno zaprtje brskalnika za ponovno odpiranje spletnih mest pod nadzorom napadalca.
  • Izvidovanje gostitelja in sistema s poizvedbami WMI.
  • Spremembe registra za obstojnost.
  • Komunikacija C2 za daljinsko upravljanje.
  • Podprte operacije vključujejo:
  • Pošiljanje sistemskih informacij
  • Tipkovnica in zajem zaslona
  • Simuliranje aktivnosti miške
  • Operacije z datotekami (nalaganje/prenos)
  • Naštevanje oken
  • Ustvarjanje lažnih bančnih prekrivnih elementov

Ta funkcionalnost odraža bančne trojance, osredotočene na LATAM, kot je Casbaneiro, in odraža strukturno in vedenjsko kontinuiteto, hkrati pa uporablja naprednejše mehanizme izvajanja.

Širjenje WhatsAppa na osnovi Pythona

Pomembna inovacija v kampanji je skript Python, ki širi zlonamerno programsko opremo prek WhatsApp Web z orodjem za avtomatizacijo brskalnika Selenium. Dokazi kažejo, da je Water Saci morda uporabil velike jezikovne modele ali orodja za prevajanje kode za prenos originalne logike širjenja PowerShella v Python. Izhodi konzole vključujejo celo emojije, kar poudarja dovršenost novega skripta.

Z izkoriščanjem zaupanja in dosega WhatsAppa lahko Water Saci samostojno širi zlonamerno programsko opremo v velikem obsegu, pri čemer zaobide tradicionalne obrambne mehanizme in hitro ogrozi žrtve.

Zaključek: Nova doba kibernetskih groženj, ki temeljijo na sporočanju

Kampanja Water Saci poudarja naraščajoči trend: kibernetski kriminalci izkoriščajo legitimne platforme, kot je WhatsApp, za uporabo kompleksne zlonamerne programske opreme. Z združevanjem socialnega inženiringa, razvoja skriptov s pomočjo umetne inteligence in večstopenjskega dostave zlonamerne programske opreme lahko akterji grožnje vzdržujejo trajne okužbe z bančnimi trojanci, hkrati pa se izogibajo običajnim varnostnim kontrolam.

Ta primer poudarja potrebo po večji budnosti, robustni zaščiti končnih točk in ozaveščenosti uporabnikov, zlasti v regijah, kot je Brazilija, kjer platforme za sporočanje igrajo osrednjo vlogo v vsakodnevni komunikaciji.

V trendu

Najbolj gledan

Nalaganje...