Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Trojan bankar Trojan Bankar i Ujit Saci

Trojan Bankar i Ujit Saci

Nga MezoTrojan bankar, Kërcënimi i avancuar i vazhdueshëm (APT), Malware celular
Përkthe në:

Operacionet kriminale kibernetike vazhdojnë të evoluojnë dhe aktori brazilian i kërcënimeve Water Saci ka demonstruar një hap të jashtëzakonshëm në sofistikim. Fushatat e fundit shfrytëzojnë zinxhirët e infeksionit shumështresor duke përdorur skedarë HTA, PDF dhe WhatsApp për të përhapur një trojan bankar, duke synuar përdoruesit brazilianë me një efikasitet të paparë.

Zinxhiri i Sulmeve me Shumë Formate: Nga PowerShell në Python

Vala e fundit shënon një ndryshim të rëndësishëm në taktikat e Water Saci. I varur më parë nga PowerShell, aktori kërcënues tani përdor një variant të bazuar në Python që përhap malware në një mënyrë të ngjashme me krimbat nëpërmjet WhatsApp Web.

Elementet kryesore të këtij zinxhiri të sulmit të përmirësuar përfshijnë:

Joshjet PDF : Viktimat marrin skedarë PDF që i udhëzojnë ata të përditësojnë Adobe Reader duke klikuar një lidhje keqdashëse.

Skedarët HTA : Kur ekzekutohen, këta skedarë ekzekutojnë Skripte Visual Basic që lëshojnë komanda PowerShell për të marrë ngarkesa, duke përfshirë një instalues MSI për trojanin dhe skriptin Python përgjegjës për përhapjen e WhatsApp.

Kjo qasje me shumë formate tregon se si Water Saci i ka shtresuar mekanizmat e saj të sulmit, me shumë mundësi duke përdorur inteligjencën artificiale ose mjete të automatizuara për të përkthyer skriptet nga PowerShell në Python. Kjo rrit përputhshmërinë, shpejtësinë, qëndrueshmërinë dhe mirëmbajtjen e shpërndarjes së malware-it.

Instaluesi i MSI dhe Ngarkuesi i Trojanëve i Bazuar në AutoIt

Instaluesi MSI shërben si mekanizëm shpërndarjeje për trojanin bankar. Skripti i tij AutoIt kryen disa funksione kritike:

  • Siguron që vetëm një instancë e trojanit është duke u ekzekutuar duke kontrolluar për një skedar shënues (executed.dat) dhe duke njoftuar një server të kontrolluar nga sulmuesi.
  • Verifikon cilësimet e gjuhës së sistemit (portugalisht-brazilian) përpara se të skanojë për skedarë dhe aplikacione që lidhen me bankat, duke përfshirë Bradesco, Varshavë, Topaz OFD, Sicoob dhe Itaú.
  • Kërkon historinë e Google Chrome për vizita në bankat kryesore braziliane: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi dhe Bradesco.

Ngarkuesi përdor zbrazjen e procesit dhe ngarkimin e ndërmjetëm të PE nëpërmjet skedarëve TDA/DMP për të injektuar trojanin në memorie, duke arritur fshehtësi dhe qëndrueshmëri. Nëse procesi i trojanit ndërpritet, ai riinjektohet automatikisht kur viktima hyn në një faqe bankare.

Funksionaliteti i Trojanit: Zbulimi Agresiv dhe Vjedhja e Kredencialeve

Trojani i Water Saci shfaq aftësi të përparuara për monitorimin, kontrollin dhe vjedhjen e të dhënave, duke përfshirë:

  • Monitorimi i titullit të dritares për të zbuluar platformat bankare ose të kriptomonedhave.
  • Mbyllje e detyruar e shfletuesit për të rihapur faqet nën kontrollin e sulmuesit.
  • Zbulimi i hostit dhe sistemit përmes pyetjeve WMI.
  • Modifikimet e regjistrit për qëndrueshmëri.
  • Komunikim C2 për telekomandë.
  • Operacionet e mbështetura përfshijnë:
  • Duke dërguar informacionin e sistemit
  • Tastiera dhe kapja e ekranit
  • Simulimi i aktivitetit të miut
  • Operacionet e skedarëve (ngarkimi/shkarkimi)
  • Numërimi i dritares
  • Krijimi i mbulesave të rreme bankare

Ky funksionalitet pasqyron trojanë bankarë të fokusuar në LATAM si Casbaneiro, duke reflektuar vazhdimësi strukturore dhe të sjelljes, ndërsa përdor mekanizma më të përparuar të shpërndarjes.

Përhapja e WhatsApp-it e bazuar në Python

Një risi e dukshme në fushatë është skripti Python që përhap malware-in nëpërmjet WhatsApp Web duke përdorur mjetin e automatizimit të shfletuesit Selenium. Provat sugjerojnë që Water Saci mund të ketë përdorur modele të mëdha gjuhësore ose mjete përkthimi të kodit për të portuar logjikën origjinale të përhapjes së PowerShell në Python. Daljet e konsolës përfshijnë madje edhe emoji, duke nxjerrë në pah sofistikimin e skriptit të ri.

Duke shfrytëzuar besimin dhe shtrirjen e WhatsApp, Water Saci mund të përhapë vetë programe keqdashëse në shkallë të gjerë, duke anashkaluar mbrojtjet tradicionale dhe duke kompromentuar me shpejtësi viktimat.

Përfundim: Një epokë e re e kërcënimeve kibernetike të bazuara në mesazhe

Fushata Water Saci nxjerr në pah një trend në rritje: kriminelët kibernetikë përdorin platforma legjitime si WhatsApp si armë për të vendosur programe komplekse keqdashëse. Duke kombinuar inxhinierinë sociale, zhvillimin e skripteve të asistuara nga inteligjenca artificiale dhe shpërndarjen e programeve keqdashëse në shumë faza, aktorët kërcënues mund të mbajnë infeksione të vazhdueshme me trojanë bankarë, ndërkohë që shmangin kontrollet konvencionale të sigurisë.

Ky rast nënvizon nevojën për vigjilencë të shtuar, mbrojtje të fuqishme të pikave fundore dhe ndërgjegjësim të përdoruesve, veçanërisht në rajone si Brazili, ku platformat e mesazheve luajnë një rol qendror në komunikimin e përditshëm.

Në trend

Më e shikuara

Po ngarkohet...