วอเตอร์ ซาซี แบงกิ้ง โทรจัน
ปฏิบัติการของอาชญากรไซเบอร์ยังคงพัฒนาอย่างต่อเนื่อง และวอเตอร์ ซาซี ผู้ก่อภัยคุกคามชาวบราซิล ได้แสดงให้เห็นถึงความก้าวหน้าอย่างก้าวกระโดดในด้านความซับซ้อน แคมเปญล่าสุดใช้ประโยชน์จากห่วงโซ่การติดเชื้อแบบหลายชั้นโดยใช้ไฟล์ HTA, PDF และ WhatsApp เพื่อแพร่กระจายโทรจันธนาคาร โดยกำหนดเป้าหมายผู้ใช้ชาวบราซิลอย่างมีประสิทธิภาพอย่างที่ไม่เคยมีมาก่อน
สารบัญ
ห่วงโซ่การโจมตีหลายรูปแบบ: จาก PowerShell ไปจนถึง Python
คลื่นลูกล่าสุดนี้ถือเป็นการเปลี่ยนแปลงครั้งสำคัญในกลยุทธ์ของ Water Saci ก่อนหน้านี้ผู้ก่อภัยคุกคามรายนี้ใช้ PowerShell แต่ปัจจุบันใช้เวอร์ชัน Python ที่แพร่กระจายมัลแวร์แบบเวิร์มผ่าน WhatsApp Web
องค์ประกอบหลักของห่วงโซ่การโจมตีที่ได้รับการปรับปรุงนี้ ได้แก่:
PDF Lures : เหยื่อจะได้รับไฟล์ PDF ซึ่งมีคำแนะนำให้อัปเดต Adobe Reader ด้วยการคลิกลิงก์ที่เป็นอันตราย
ไฟล์ HTA : เมื่อดำเนินการ ไฟล์เหล่านี้จะรันสคริปต์ Visual Basic ที่จะเปิดใช้คำสั่ง PowerShell เพื่อดึงข้อมูล รวมถึงตัวติดตั้ง MSI สำหรับโทรจันและสคริปต์ Python ที่รับผิดชอบการแพร่กระจาย WhatsApp
แนวทางแบบหลายรูปแบบนี้แสดงให้เห็นว่า Water Saci ได้วางกลไกการโจมตีไว้หลายชั้นอย่างไร โดยอาจใช้ AI หรือเครื่องมืออัตโนมัติเพื่อแปลสคริปต์จาก PowerShell เป็น Python วิธีนี้ช่วยเพิ่มความเข้ากันได้ ความเร็ว ความยืดหยุ่น และความสามารถในการบำรุงรักษาของมัลแวร์ที่ส่งมา
โปรแกรมติดตั้ง MSI และโปรแกรมโหลดโทรจันที่ใช้ AutoIt
ตัวติดตั้ง MSI ทำหน้าที่เป็นกลไกการส่งมอบโทรจันธนาคาร สคริปต์ AutoIt ทำหน้าที่สำคัญหลายประการ:
- รับประกันว่ามีโทรจันเพียงอินสแตนซ์เดียวเท่านั้นที่ทำงานอยู่โดยตรวจสอบไฟล์มาร์กเกอร์ (executed.dat) และแจ้งให้เซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตีทราบ
- ตรวจสอบการตั้งค่าภาษาของระบบ (โปรตุเกส-บราซิล) ก่อนสแกนไฟล์และแอปพลิเคชันที่เกี่ยวข้องกับการธนาคาร รวมถึง Bradesco, Warsaw, Topaz OFD, Sicoob และ Itaú
- ค้นหาประวัติ Google Chrome สำหรับการเยี่ยมชมธนาคารสำคัญของบราซิล: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi และ Bradesco
ตัวโหลดใช้กระบวนการกลวงและการโหลด PE ระดับกลางผ่านไฟล์ TDA/DMP เพื่อฉีดโทรจันเข้าสู่หน่วยความจำ ทำให้เกิดการซ่อนตัวและคงอยู่ หากกระบวนการโทรจันสิ้นสุดลง มันจะฉีดซ้ำโดยอัตโนมัติเมื่อเหยื่อเข้าถึงเว็บไซต์ธนาคาร
ฟังก์ชันการทำงานของโทรจัน: การลาดตระเวนเชิงรุกและการขโมยข้อมูลประจำตัว
โทรจันของ Water Saci แสดงให้เห็นถึงความสามารถขั้นสูงสำหรับการตรวจสอบ ควบคุม และขโมยข้อมูล รวมถึง:
- การตรวจสอบชื่อหน้าต่างเพื่อตรวจจับแพลตฟอร์มการธนาคารหรือสกุลเงินดิจิทัล
- บังคับให้ยุติการใช้งานเบราว์เซอร์เพื่อเปิดไซต์ใหม่ภายใต้การควบคุมของผู้โจมตี
- การสำรวจโฮสต์และระบบผ่านแบบสอบถาม WMI
- การปรับเปลี่ยนรีจิสทรีเพื่อความคงอยู่
- การสื่อสาร C2 สำหรับการควบคุมระยะไกล
- การดำเนินการที่รองรับได้แก่:
- การส่งข้อมูลระบบ
- การจับภาพแป้นพิมพ์และหน้าจอ
- การจำลองกิจกรรมของเมาส์
- การดำเนินการไฟล์ (อัพโหลด/ดาวน์โหลด)
- การนับหน้าต่าง
- การสร้างโอเวอร์เลย์ธนาคารปลอม
ฟังก์ชันนี้สะท้อนถึงโทรจันธนาคารที่เน้นละตินอเมริกา เช่น Casbaneiro ซึ่งสะท้อนถึงความต่อเนื่องทางโครงสร้างและพฤติกรรมในขณะที่ใช้กลไกการส่งมอบขั้นสูงยิ่งขึ้น
การแพร่กระจาย WhatsApp ที่ใช้ Python
นวัตกรรมที่โดดเด่นในแคมเปญนี้คือสคริปต์ Python ที่แพร่กระจายมัลแวร์ผ่าน WhatsApp Web โดยใช้เครื่องมืออัตโนมัติของเบราว์เซอร์ Selenium หลักฐานบ่งชี้ว่า Water Saci อาจใช้โมเดลภาษาขนาดใหญ่หรือเครื่องมือแปลรหัสเพื่อแปลงตรรกะการแพร่กระจายของ PowerShell ดั้งเดิมเป็น Python เอาต์พุตของคอนโซลยังรวมถึงอิโมจิ ซึ่งเน้นย้ำถึงความซับซ้อนของสคริปต์ใหม่
ด้วยการใช้ประโยชน์จากความไว้วางใจและการเข้าถึงของ WhatsApp Water Saci สามารถแพร่กระจายมัลแวร์ในตัวเองได้ในระดับขนาดใหญ่ หลีกเลี่ยงการป้องกันแบบดั้งเดิม และทำให้เหยื่อเข้าถึงข้อมูลได้อย่างรวดเร็ว
บทสรุป: ยุคใหม่ของภัยคุกคามทางไซเบอร์ที่อาศัยการส่งข้อความ
แคมเปญ Water Saci เน้นย้ำถึงแนวโน้มที่กำลังเติบโต นั่นคือ อาชญากรไซเบอร์ใช้แพลตฟอร์มที่ถูกกฎหมายอย่าง WhatsApp เป็นอาวุธ เพื่อปล่อยมัลแวร์ที่ซับซ้อน ด้วยการผสมผสานวิศวกรรมสังคม การพัฒนาสคริปต์ด้วย AI และการส่งมัลแวร์แบบหลายขั้นตอน ผู้ก่อภัยคุกคามสามารถรักษาการติดมัลแวร์โทรจันในระบบธนาคารอย่างต่อเนื่อง ขณะเดียวกันก็หลีกเลี่ยงการควบคุมความปลอดภัยแบบเดิมได้
กรณีนี้เน้นย้ำถึงความจำเป็นในการเฝ้าระวังที่เพิ่มมากขึ้น การปกป้องปลายทางที่แข็งแกร่ง และการตระหนักรู้ของผู้ใช้ โดยเฉพาะในภูมิภาคเช่นบราซิล ซึ่งแพลตฟอร์มการส่งข้อความมีบทบาทสำคัญในการสื่อสารในชีวิตประจำวัน
