Multi-License Discount Quote
Banta sa Database Trojan sa pagbabangko Water Saci Banking Trojan

Water Saci Banking Trojan

Sa pamamagitan ng Mezo sa Trojan sa pagbabangko, Advanced Persistent Threat (APT), Mobile Malware
Isalin To:

Ang mga operasyong cybercriminal ay patuloy na umuunlad, at ang Brazilian threat actor na si Water Saci ay nagpakita ng isang kahanga-hangang hakbang sa pagiging sopistikado. Ang mga kamakailang campaign ay gumagamit ng mga multi-layered na chain ng impeksyon gamit ang mga HTA file, PDF, at WhatsApp para magpalaganap ng banking trojan, na nagta-target sa mga user ng Brazil na may hindi pa nagagawang kahusayan.

Multi-Format Attack Chain: Mula sa PowerShell hanggang Python

Ang pinakabagong alon ay nagmamarka ng isang makabuluhang pagbabago sa mga taktika ng Water Saci. Dati umaasa sa PowerShell, gumagamit na ngayon ang threat actor ng Python-based na variant na kumakalat ng malware sa paraang parang worm sa pamamagitan ng WhatsApp Web.

Ang mga pangunahing elemento ng pinahusay na chain ng pag-atake na ito ay kinabibilangan ng:

PDF Lures : Ang mga biktima ay tumatanggap ng mga PDF file na nagtuturo sa kanila na i-update ang Adobe Reader sa pamamagitan ng pag-click sa isang nakakahamak na link.

HTA Files : Kapag naisakatuparan, ang mga file na ito ay nagpapatakbo ng Visual Basic Scripts na naglulunsad ng mga PowerShell command para kumuha ng mga payload, kabilang ang isang MSI installer para sa trojan at ang Python script na responsable para sa pagpapalaganap ng WhatsApp.

Ang multi-format na diskarte na ito ay nagpapakita kung paano nilagyan ng Water Saci ang mga mekanismo ng pag-atake nito, malamang na gumagamit ng AI o mga automated na tool upang isalin ang mga script mula sa PowerShell patungo sa Python. Pinapataas nito ang pagiging tugma, bilis, katatagan, at pagpapanatili ng paghahatid ng malware.

MSI Installer at AutoIt-Based Trojan Loader

Ang MSI installer ay nagsisilbing mekanismo ng paghahatid para sa banking trojan. Ang AutoIt script nito ay gumaganap ng ilang kritikal na function:

  • Tinitiyak lamang na isang instance ng trojan ang tumatakbo sa pamamagitan ng pagsuri para sa isang marker file (executed.dat) at pag-abiso sa isang server na kontrolado ng attacker.
  • Bine-verify ang mga setting ng wika ng system (Portuguese-Brazil) bago mag-scan para sa mga file at application na nauugnay sa pagbabangko, kabilang ang Bradesco, Warsaw, Topaz OFD, Sicoob, at Itaú.
  • Naghahanap sa kasaysayan ng Google Chrome para sa mga pagbisita sa mga pangunahing bangko sa Brazil: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi, at Bradesco.

Gumagamit ang loader ng proseso ng hollowing at intermediate na paglo-load ng PE sa pamamagitan ng mga TDA/DMP na file upang maipasok ang trojan sa memorya, na makamit ang stealth at pagtitiyaga. Kung ang proseso ng trojan ay winakasan, awtomatiko itong muling mag-iniksyon kapag ang biktima ay nag-access sa isang banking site.

Trojan Functionality: Aggressive Reconnaissance at Credential Theft

Ang trojan ng Water Saci ay nagpapakita ng mga advanced na kakayahan para sa pagsubaybay, kontrol, at pagnanakaw ng data, kabilang ang:

  • Pagsubaybay sa pamagat ng bintana upang makita ang mga platform ng pagbabangko o cryptocurrency.
  • Sapilitang pagwawakas ng browser upang muling buksan ang mga site sa ilalim ng kontrol ng attacker.
  • Host at system reconnaissance sa pamamagitan ng mga query sa WMI.
  • Mga pagbabago sa rehistro para sa pagtitiyaga.
  • C2 komunikasyon para sa remote control.
  • Kasama sa mga sinusuportahang operasyon ang:
  • Pagpapadala ng impormasyon ng system
  • Keyboard at screen capture
  • Pagtulad sa aktibidad ng mouse
  • Mga pagpapatakbo ng file (pag-upload/pag-download)
  • Enumeration ng bintana
  • Paglikha ng mga pekeng overlay sa pagbabangko

Ang functionality na ito ay sumasalamin sa LATAM-focused banking trojans tulad ng Casbaneiro, na sumasalamin sa istruktura at asal na pagpapatuloy habang gumagamit ng mas advanced na mga mekanismo ng paghahatid.

Pagpapalaganap ng WhatsApp na Batay sa Python

Ang isang kapansin-pansing pagbabago sa kampanya ay ang script ng Python na nagpapalaganap ng malware sa pamamagitan ng WhatsApp Web gamit ang tool ng automation ng browser ng Selenium. Iminumungkahi ng ebidensya na ang Water Saci ay maaaring gumamit ng malalaking modelo ng wika o mga tool sa pagsasalin ng code upang i-port ang orihinal na lohika ng pagpapalaganap ng PowerShell sa Python. Kasama pa sa mga output ng console ang mga emoji, na nagha-highlight sa pagiging sopistikado ng bagong script.

Sa pamamagitan ng pagsasamantala sa tiwala at pag-abot ng WhatsApp, ang Water Saci ay maaaring magpalaganap ng malware sa sukat, na lumalampas sa mga tradisyonal na depensa at mabilis na nakompromiso ang mga biktima.

Konklusyon: Isang Bagong Panahon ng Mga Banta sa Cyber Batay sa Pagmemensahe

Itinatampok ng Water Saci campaign ang lumalagong trend: ang mga cybercriminal na gumagamit ng mga lehitimong platform tulad ng WhatsApp para mag-deploy ng kumplikadong malware. Sa pamamagitan ng pagsasama-sama ng social engineering, AI-assisted script development, at multi-stage na paghahatid ng malware, ang mga banta ng aktor ay maaaring mapanatili ang patuloy na pagbabangko ng mga impeksyon sa trojan habang umiiwas sa mga kumbensyonal na kontrol sa seguridad.

Binibigyang-diin ng kasong ito ang pangangailangan para sa mas mataas na pagbabantay, matatag na proteksyon sa endpoint, at kamalayan ng user, lalo na sa mga rehiyon tulad ng Brazil, kung saan ang mga platform ng pagmemensahe ay may mahalagang papel sa pang-araw-araw na komunikasyon.

Trending

Pinaka Nanood

Naglo-load...