Попуст за више лиценци
Тхреат Датабасе Банкарски тројанац Тројанац за банкарство Water Saci

Тројанац за банкарство Water Saci

До Mezo. у Банкарски тројанац, Напредна трајна претња (АПТ), Мобиле Малваре
Преведи на:

Сајбер криминалне операције се стално развијају, а бразилски претњачки актер Вотер Сачи показао је изузетан скок у софистицираности. Недавне кампање користе вишеслојне ланце инфекције користећи HTA датотеке, PDF-ове и WhatsApp за ширење банкарског тројанца, циљајући бразилске кориснике са невиђеном ефикасношћу.

Ланац напада у више формата: од PowerShell-а до Python-а

Најновији талас означава значајну промену у тактикама компаније Water Saci. Раније ослањајући се на PowerShell, овај претњак сада користи варијанту засновану на Пајтону која шири злонамерни софтвер на начин сличан црву путем WhatsApp Web-а.

Кључни елементи овог побољшаног ланца напада укључују:

PDF мамци : Жртве добијају PDF датотеке које им дају упутства да ажурирају Adobe Reader кликом на злонамерни линк.

ХТА датотеке : Када се изврше, ове датотеке покрећу Visual Basic скрипте које покрећу PowerShell команде за преузимање корисних података, укључујући MSI инсталер за тројанца и Python скрипту одговорну за пропагацију WhatsApp-а.

Овај вишеформатни приступ показује како је Water Saci слојевито ускладио своје механизме напада, вероватно користећи вештачку интелигенцију или аутоматизоване алате за превођење скрипти из PowerShell-а у Python. Ово повећава компатибилност, брзину, отпорност и одржавање испоруке злонамерног софтвера.

MSI инсталер и тројански учитавач базиран на AutoIt-у

MSI инсталатер служи као механизам за испоруку банкарског тројанца. Његов AutoIt скрипт обавља неколико кључних функција:

  • Обезбеђује да је покренута само једна инстанца тројанца проверавањем маркер датотеке (executed.dat) и обавештавањем сервера којим управља нападач.
  • Проверава подешавања система за језик (португалски-Бразил) пре скенирања датотека и апликација везаних за банкарство, укључујући Bradesco, Warsaw, Topaz OFD, Sicoob и Itaú.
  • Претражује историју Гоогле Цхроме-а за посете главним бразилским банкама: Сантандер, Банцо до Брасил, Цаика Ецономица Федерал, Сицреди и Брадесцо.

Програм за учитавање користи „шупљење“ процеса и међуучитавање PE путем TDA/DMP датотека да би убризгао тројанца у меморију, постижући прикривеност и упорност. Ако се тројански процес прекине, он се аутоматски поново убризгава када жртва приступи банкарској веб страници.

Функционалност тројанског коња: Агресивно извиђање и крађа акредитива

Тројански вирус компаније Water Saci показује напредне могућности за праћење, контролу и крађу података, укључујући:

  • Праћење наслова прозора ради откривања банкарских или криптовалутних платформи.
  • Присилно затварање прегледача ради поновног отварања сајтова под контролом нападача.
  • Извиђање хоста и система путем WMI упита.
  • Измене регистра за трајност.
  • C2 комуникација за даљинско управљање.
  • Подржане операције укључују:
  • Слање системских информација
  • Тастатура и снимање екрана
  • Симулирање активности миша
  • Операције са датотекама (отпремање/преузимање)
  • Набрајање прозора
  • Креирање лажних банкарских прекривача

Ова функционалност одражава банкарске тројанце фокусиране на Латинску Америку, попут Casbaneiro-а, одражавајући структурни и бихевиорални континуитет док користи напредније механизме испоруке.

Пропагација WhatsApp-а заснована на Пајтону

Значајна иновација у кампањи је Пајтон скрипта која шири злонамерни софтвер путем WhatsApp Web-а користећи алатку за аутоматизацију прегледача Selenium. Докази указују на то да је Вотер Саки можда користио велике језичке моделе или алате за превођење кода како би пренео оригиналну PowerShell логику ширења на Пајтон. Излази из конзоле чак укључују емоџије, што истиче софистицираност нове скрипте.

Искоришћавајући поверење и домет WhatsApp-а, Water Saci може сам ширити злонамерни софтвер у великим размерама, заобилазећи традиционалну одбрану и брзо угрожавајући жртве.

Закључак: Нова ера сајбер претњи заснованих на порукама

Кампања „Вотер Сачи“ истиче растући тренд: сајбер криминалци користе легитимне платформе попут WhatsApp-а као оружје за распоређивање сложеног малвера. Комбиновањем социјалног инжењеринга, развоја скрипти уз помоћ вештачке интелигенције и вишестепене испоруке малвера, актери претњи могу одржавати трајне инфекције банкарским тројанцима док избегавају конвенционалне безбедносне контроле.

Овај случај наглашава потребу за повећаном будношћу, робусном заштитом крајњих тачака и свесношћу корисника, посебно у регионима попут Бразила, где платформе за размену порука играју централну улогу у свакодневној комуникацији.

У тренду

TrustedSpotsearch.com

Рогуе Вебситес, Адваре, Потенцијално нежељени програми
Заштита вашег система од наметљивог и непоузданог софтвера је неопходна за одржавање безбедног и поузданог искуства прегледања. Потенцијално нежељени програми (ПУП-ови) се често маскирају као...

Најгледанији

Злонамерних програма

Пецање, Спам
30,648
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...