Rabattoffert för flera licenser
Hotdatabas Banktrojan Vatten Saci Banking Trojan

Vatten Saci Banking Trojan

Med Mezo år Banktrojan, Advanced Persistent Threat (APT), Mobil skadlig programvara
Översätt till:

Cyberkriminella verksamheter fortsätter att utvecklas, och den brasilianska hotbilden Water Saci har visat ett anmärkningsvärt språng i sofistikering. Nyligen genomförda kampanjer utnyttjar flerskiktade infektionskedjor med hjälp av HTA-filer, PDF-filer och WhatsApp för att sprida en banktrojan som riktar sig mot brasilianska användare med oöverträffad effektivitet.

Attackkedja med flera format: Från PowerShell till Python

Den senaste vågen markerar ett betydande skifte i Water Sacis taktik. Hotaktören, som tidigare var beroende av PowerShell, använder nu en Python-baserad variant som sprider skadlig kod på ett maskliknande sätt via WhatsApp Web.

Viktiga delar av denna förbättrade attackkedja inkluderar:

PDF-lockelser : Offren får PDF-filer som instruerar dem att uppdatera Adobe Reader genom att klicka på en skadlig länk.

HTA-filer : När dessa filer körs kör de Visual Basic-skript som startar PowerShell-kommandon för att hämta nyttolaster, inklusive ett MSI-installationsprogram för trojanen och Python-skriptet som ansvarar för WhatsApp-spridning.

Denna multiformatsmetod visar hur Water Saci har lagt upp sina attackmekanismer i flera lager, troligen med hjälp av AI eller automatiserade verktyg för att översätta skript från PowerShell till Python. Detta ökar kompatibilitet, hastighet, motståndskraft och underhållbarhet för leveransen av skadlig kod.

MSI Installer och AutoIt-baserad trojanladdare

MSI-installationsprogrammet fungerar som leveransmekanism för banktrojanen. Dess AutoIt-skript utför flera viktiga funktioner:

  • Säkerställer att endast en instans av trojanen körs genom att söka efter en markörfil (executed.dat) och meddela en angriparkontrollerad server.
  • Verifierar systemspråkinställningar (portugisiska-Brasilien) innan skanning efter bankrelaterade filer och program, inklusive Bradesco, Warszawa, Topaz OFD, Sicoob och Itaú.
  • Söker i Google Chromes historik efter besök på brasilianska stora banker: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi och Bradesco.

Laddaren använder processhollowing och mellanliggande PE-laddning via TDA/DMP-filer för att injicera trojanen i minnet, vilket uppnår stealth och persistens. Om trojanprocessen avslutas, injiceras den automatiskt igen när offret besöker en bankwebbplats.

Trojanfunktionalitet: Aggressiv rekognoscering och stöld av autentiseringsuppgifter

Water Sacis trojan uppvisar avancerade funktioner för övervakning, kontroll och datastöld, inklusive:

  • Övervakning av fönstertitel för att upptäcka bank- eller kryptovalutaplattformar.
  • Tvingad webbläsaravstängning för att öppna webbplatser under angriparens kontroll.
  • Värd- och systemrekognoscering genom WMI-frågor.
  • Registerändringar för persistens.
  • C2-kommunikation för fjärrstyrning.
  • Stödda åtgärder inkluderar:
  • Skickar systeminformation
  • Tangentbord och skärmdump
  • Simulering av musaktivitet
  • Filoperationer (uppladdning/nedladdning)
  • Fönsteruppräkning
  • Skapa falska banköverlägg

Denna funktionalitet speglar LATAM-fokuserade banktrojaner som Casbaneiro, och återspeglar strukturell och beteendemässig kontinuitet samtidigt som den använder mer avancerade leveransmekanismer.

Python-baserad WhatsApp-spridning

En anmärkningsvärd innovation i kampanjen är Python-skriptet som sprider skadlig kod via WhatsApp Web med hjälp av webbläsarautomationsverktyget Selenium. Bevis tyder på att Water Saci kan ha använt stora språkmodeller eller kodöversättningsverktyg för att porta den ursprungliga PowerShell-spridningslogiken till Python. Konsolutdata inkluderar till och med emojis, vilket framhäver det nya skriptets sofistikering.

Genom att utnyttja WhatsApps förtroende och räckvidd kan Water Saci självsprida skadlig kod i stor skala, kringgå traditionella försvar och snabbt äventyra offren.

Slutsats: En ny era av meddelandebaserade cyberhot

Kampanjen Water Saci belyser en växande trend: cyberbrottslingar använder legitima plattformar som WhatsApp som vapen för att distribuera komplex skadlig kod. Genom att kombinera social ingenjörskonst, AI-assisterad skriptutveckling och flerstegsleverans av skadlig kod kan hotande aktörer upprätthålla ihållande banktrojaninfektioner samtidigt som de kringgår konventionella säkerhetskontroller.

Detta fall understryker behovet av ökad vaksamhet, robust endpointskydd och användarmedvetenhet, särskilt i regioner som Brasilien, där meddelandeplattformar spelar en central roll i den dagliga kommunikationen.

Trendigt

Mest sedda

Läser in...