Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Bankacılık Truva Atı Su Saci Bankacılık Truva Atı

Su Saci Bankacılık Truva Atı

Mezo'de Bankacılık Truva Atı, Gelişmiş Sürekli Tehdit (APT), Mobil Kötü Amaçlı Yazılım'de
Çevir:

Siber suç operasyonları gelişmeye devam ediyor ve Brezilyalı tehdit aktörü Water Saci, gelişmişlik açısından dikkat çekici bir sıçrama gösterdi. Son saldırılar, HTA dosyaları, PDF'ler ve WhatsApp kullanarak çok katmanlı enfeksiyon zincirlerinden yararlanarak bir bankacılık trojanını yayıyor ve Brezilyalı kullanıcıları benzeri görülmemiş bir verimlilikle hedef alıyor.

Çoklu Formatlı Saldırı Zinciri: PowerShell’den Python’a

Son dalga, Water Saci'nin taktiklerinde önemli bir değişikliğe işaret ediyor. Daha önce PowerShell'e güvenen tehdit aktörü, artık kötü amaçlı yazılımları WhatsApp Web üzerinden solucan benzeri bir şekilde yayan Python tabanlı bir varyant kullanıyor.

Bu gelişmiş saldırı zincirinin temel unsurları şunlardır:

PDF Tuzakları : Mağdurlar, kötü amaçlı bir bağlantıya tıklayarak Adobe Reader'ı güncellemeleri talimatını veren PDF dosyaları alırlar.

HTA Dosyaları : Çalıştırıldığında, bu dosyalar, trojan için bir MSI yükleyicisi ve WhatsApp yayılımından sorumlu Python betiği de dahil olmak üzere yükleri almak için PowerShell komutlarını başlatan Visual Basic Betiklerini çalıştırır.

Bu çok formatlı yaklaşım, Water Saci'nin saldırı mekanizmalarını nasıl katmanlandırdığını, muhtemelen yapay zeka veya otomatik araçlar kullanarak betikleri PowerShell'den Python'a nasıl çevirdiğini göstermektedir. Bu, kötü amaçlı yazılım dağıtımının uyumluluğunu, hızını, dayanıklılığını ve sürdürülebilirliğini artırır.

MSI Yükleyici ve AutoIt Tabanlı Truva Atı Yükleyici

MSI yükleyici, bankacılık trojanının dağıtım mekanizması olarak hizmet eder. AutoIt betiği birkaç kritik işlevi yerine getirir:

  • Bir işaretleyici dosyasını (executed.dat) kontrol ederek ve saldırganın kontrolündeki sunucuya bildirimde bulunarak yalnızca bir trojan örneğinin çalıştığından emin olur.
  • Bradesco, Warsaw, Topaz OFD, Sicoob ve Itaú dahil olmak üzere bankacılıkla ilgili dosyaları ve uygulamaları taramadan önce sistem dil ayarlarını (Portekizce-Brezilya) doğrular.
  • Brezilya'nın büyük bankalarına yapılan ziyaretler için Google Chrome geçmişini arar: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi ve Bradesco.

Yükleyici, TDA/DMP dosyaları aracılığıyla işlem boşaltma ve ara PE yüklemesi kullanarak trojanı belleğe enjekte eder ve gizlilik ve kalıcılık sağlar. Trojan işlemi sonlandırılırsa, kurban bir bankacılık sitesine eriştiğinde otomatik olarak yeniden enjekte edilir.

Truva Atı İşlevselliği: Saldırgan Keşif ve Kimlik Bilgisi Hırsızlığı

Water Saci'nin trojanı, izleme, kontrol ve veri hırsızlığı için gelişmiş yetenekler sergiliyor, bunlar arasında şunlar yer alıyor:

  • Bankacılık veya kripto para platformlarını tespit etmek için pencere başlığı izleme.
  • Saldırgan kontrolündeki siteleri yeniden açmak için tarayıcının zorunlu olarak sonlandırılması.
  • WMI sorguları aracılığıyla ana bilgisayar ve sistem keşfi.
  • Kalıcılık için kayıt defteri değişiklikleri.
  • Uzaktan kumanda için C2 haberleşmesi.
  • Desteklenen işlemler şunlardır:
  • Sistem bilgilerini gönderiyor
  • Klavye ve ekran görüntüsü alma
  • Fare aktivitesinin simülasyonu
  • Dosya işlemleri (yükleme/indirme)
  • Pencere numaralandırması
  • Sahte bankacılık katmanları oluşturma

Bu işlevsellik, Casbaneiro gibi LATAM odaklı bankacılık trojanlarını yansıtıyor ve daha gelişmiş dağıtım mekanizmaları kullanırken yapısal ve davranışsal sürekliliği yansıtıyor.

Python Tabanlı WhatsApp Yayılımı

Kampanyadaki dikkat çekici yeniliklerden biri, kötü amaçlı yazılımı Selenium tarayıcı otomasyon aracını kullanarak WhatsApp Web üzerinden yayan Python betiğidir. Kanıtlar, Water Saci'nin orijinal PowerShell yayılım mantığını Python'a aktarmak için büyük dil modelleri veya kod çeviri araçları kullanmış olabileceğini gösteriyor. Konsol çıktıları, yeni betiğin karmaşıklığını vurgulayan emojiler bile içeriyor.

WhatsApp'ın güvenini ve erişimini istismar ederek Water Saci, kötü amaçlı yazılımları büyük ölçekte kendi kendine yayabilir, geleneksel savunmaları aşabilir ve kurbanları hızla tehlikeye atabilir.

Sonuç: Mesajlaşma Tabanlı Siber Tehditlerin Yeni Bir Çağı

Water Saci kampanyası, giderek artan bir eğilimi vurguluyor: Siber suçlular, karmaşık kötü amaçlı yazılımları dağıtmak için WhatsApp gibi meşru platformları silah olarak kullanıyor. Sosyal mühendislik, yapay zeka destekli betik geliştirme ve çok aşamalı kötü amaçlı yazılım dağıtımını bir araya getiren tehdit aktörleri, geleneksel güvenlik kontrollerinden kaçınırken kalıcı bankacılık Truva atı enfeksiyonlarını sürdürebiliyor.

Bu durum, özellikle mesajlaşma platformlarının günlük iletişimde merkezi bir rol oynadığı Brezilya gibi bölgelerde daha fazla dikkat, güçlü uç nokta koruması ve kullanıcı farkındalığının gerekliliğini vurguluyor.

trend

En çok görüntülenen

Yükleniyor...