Банківський троян Water Saci
Кіберзлочинні операції продовжують розвиватися, і бразильський кіберзлочинець Water Saci продемонстрував разючий стрибок у витонченості. Нещодавні кампанії використовують багаторівневі ланцюги зараження, що використовують HTA-файли, PDF-файли та WhatsApp, для поширення банківського трояна, який атакує бразильських користувачів з безпрецедентною ефективністю.
Зміст
Ланцюг атаки в різних форматах: від PowerShell до Python
Остання хвиля хакерських атак знаменує собою значний зсув у тактиці Water Saci. Раніше зловмисник покладався на PowerShell, але тепер використовує варіант на основі Python, який поширює шкідливе програмне забезпечення, подібно до черв'яка, через WhatsApp Web.
Ключові елементи цього вдосконаленого ланцюга атак включають:
PDF-приманки : жертви отримують PDF-файли з інструкцією оновити Adobe Reader, натиснувши на шкідливе посилання.
HTA-файли : під час виконання ці файли запускають скрипти Visual Basic, які запускають команди PowerShell для отримання корисних навантажень, включаючи інсталятор MSI для трояна та скрипт Python, відповідальний за поширення WhatsApp.
Цей багатоформатний підхід демонструє, як Water Saci багаторівнево використовує свої механізми атаки, ймовірно, використовуючи штучний інтелект або автоматизовані інструменти для перетворення скриптів з PowerShell на Python. Це підвищує сумісність, швидкість, стійкість та зручність обслуговування доставки шкідливого програмного забезпечення.
Інсталятор MSI та завантажувач троянських програм на основі AutoIt
Інсталятор MSI слугує механізмом доставки банківського трояна. Його скрипт AutoIt виконує кілька важливих функцій:
- Забезпечує роботу лише одного екземпляра трояна, перевіряючи наявність файлу маркерів (executed.dat) та повідомляючи сервер, контрольований зловмисником.
- Перевіряє мовні налаштування системи (португальська-Бразилія) перед скануванням файлів та програм, пов’язаних з банківською діяльністю, включаючи Bradesco, Warsaw, Topaz OFD, Sicoob та Itaú.
- Шукає в історії Google Chrome відвідування основних бразильських банків: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi та Bradesco.
Завантажувач використовує вилучення процесів та проміжне завантаження PE через файли TDA/DMP для впровадження трояна в пам'ять, досягаючи прихованості та стійкості. Якщо троянський процес завершується, він автоматично повторно впроваджується, коли жертва звертається до банківського сайту.
Функціональність трояна: агресивна розвідка та крадіжка облікових даних
Троян Water Saci демонструє розширені можливості моніторингу, контролю та крадіжки даних, зокрема:
- Моніторинг заголовків вікон для виявлення банківських або криптовалютних платформ.
- Примусове завершення роботи браузера для повторного відкриття сайтів, що знаходяться під контролем зловмисника.
- Розвідка хоста та системи за допомогою WMI-запитів.
- Зміни реєстру для забезпечення збереження.
- Зв'язок C2 для дистанційного керування.
- Підтримувані операції включають:
- Надсилання системної інформації
- Клавіатура та захоплення екрана
- Моделювання активності миші
- Операції з файлами (завантаження/вивантаження)
- Перерахування вікон
- Створення фальшивих банківських накладок
Ця функціональність відображає банківські трояни, орієнтовані на Латинсько-Америку, такі як Casbaneiro, відображаючи структурну та поведінкову безперервність, використовуючи водночас більш просунуті механізми доставки.
Поширення WhatsApp на основі Python
Помітним нововведенням у кампанії є скрипт Python, який поширює шкідливе програмне забезпечення через WhatsApp Web за допомогою інструмента автоматизації браузера Selenium. Дані свідчать про те, що Water Saci, можливо, використовував великі мовні моделі або інструменти перекладу коду для перенесення оригінальної логіки поширення PowerShell на Python. Вихідні дані консолі навіть містять емодзі, що підкреслює складність нового скрипта.
Використовуючи довіру та охоплення WhatsApp, Water Saci може самостійно поширювати шкідливе програмне забезпечення у великих масштабах, обходячи традиційні засоби захисту та швидко компрометуючи жертв.
Висновок: Нова ера кіберзагроз на основі обміну повідомленнями
Кампанія Water Saci підкреслює зростаючу тенденцію: кіберзлочинці використовують легітимні платформи, такі як WhatsApp, як зброю для розгортання складного шкідливого програмного забезпечення. Поєднуючи соціальну інженерію, розробку скриптів за допомогою штучного інтелекту та багатоетапну доставку шкідливого програмного забезпечення, зловмисники можуть підтримувати постійні зараження банківськими троянами, уникаючи звичайних засобів контролю безпеки.
Цей випадок підкреслює необхідність підвищеної пильності, надійного захисту кінцевих точок та обізнаності користувачів, особливо в таких регіонах, як Бразилія, де платформи обміну повідомленнями відіграють центральну роль у щоденному спілкуванні.
