Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Trojan ngân hàng Trojan ngân hàng Water Saci

Trojan ngân hàng Water Saci

Đến năm Mezo năm Trojan ngân hàng, Mối đe dọa dai dẳng nâng cao (APT), Phần mềm độc hại di động
Dịch sang:

Các hoạt động tội phạm mạng tiếp tục phát triển, và nhóm tin tặc người Brazil Water Saci đã chứng minh sự tinh vi vượt bậc. Các chiến dịch gần đây tận dụng chuỗi lây nhiễm nhiều lớp bằng cách sử dụng tệp HTA, PDF và WhatsApp để phát tán trojan ngân hàng, nhắm mục tiêu vào người dùng Brazil với hiệu quả chưa từng có.

Chuỗi tấn công đa định dạng: Từ PowerShell đến Python

Làn sóng mới nhất đánh dấu sự thay đổi đáng kể trong chiến thuật của Water Saci. Trước đây, kẻ tấn công dựa vào PowerShell, giờ đây sử dụng một biến thể dựa trên Python để phát tán phần mềm độc hại theo cách tương tự như sâu máy tính thông qua WhatsApp Web.

Các yếu tố chính của chuỗi tấn công nâng cao này bao gồm:

Mồi nhử PDF : Nạn nhân nhận được các tệp PDF hướng dẫn họ cập nhật Adobe Reader bằng cách nhấp vào liên kết độc hại.

Tệp HTA : Khi được thực thi, các tệp này sẽ chạy các tập lệnh Visual Basic để khởi chạy các lệnh PowerShell để tải các nội dung, bao gồm trình cài đặt MSI cho trojan và tập lệnh Python chịu trách nhiệm phát tán WhatsApp.

Phương pháp tiếp cận đa định dạng này cho thấy Water Saci đã phân lớp các cơ chế tấn công của mình, có thể sử dụng AI hoặc các công cụ tự động để dịch các tập lệnh từ PowerShell sang Python. Điều này làm tăng khả năng tương thích, tốc độ, khả năng phục hồi và khả năng bảo trì của việc phân phối phần mềm độc hại.

Trình cài đặt MSI & Trình tải Trojan dựa trên AutoIt

Trình cài đặt MSI đóng vai trò là cơ chế phân phối trojan ngân hàng. Tập lệnh AutoIt của nó thực hiện một số chức năng quan trọng:

  • Đảm bảo chỉ có một phiên bản trojan đang chạy bằng cách kiểm tra tệp đánh dấu (executed.dat) và thông báo cho máy chủ do kẻ tấn công kiểm soát.
  • Xác minh cài đặt ngôn ngữ hệ thống (Bồ Đào Nha-Brazil) trước khi quét các tệp và ứng dụng liên quan đến ngân hàng, bao gồm Bradesco, Warsaw, Topaz OFD, Sicoob và Itaú.
  • Tìm kiếm lịch sử Google Chrome để biết các chuyến thăm tới các ngân hàng lớn của Brazil: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi và Bradesco.

Trình tải sử dụng kỹ thuật khoét rỗng quy trình và tải PE trung gian thông qua các tệp TDA/DMP để đưa trojan vào bộ nhớ, đạt được khả năng ẩn danh và tồn tại dai dẳng. Nếu quy trình trojan bị chấm dứt, nó sẽ tự động đưa trojan trở lại khi nạn nhân truy cập vào trang web ngân hàng.

Chức năng của Trojan: Do thám hung hãn và đánh cắp thông tin xác thực

Trojan của Water Saci thể hiện khả năng tiên tiến trong việc giám sát, kiểm soát và đánh cắp dữ liệu, bao gồm:

  • Theo dõi tiêu đề cửa sổ để phát hiện nền tảng ngân hàng hoặc tiền điện tử.
  • Buộc phải tắt trình duyệt để mở lại các trang web do kẻ tấn công kiểm soát.
  • Giám sát máy chủ và hệ thống thông qua truy vấn WMI.
  • Sửa đổi sổ đăng ký để duy trì tính bền vững.
  • Giao tiếp C2 để điều khiển từ xa.
  • Các hoạt động được hỗ trợ bao gồm:
  • Gửi thông tin hệ thống
  • Chụp bàn phím và màn hình
  • Mô phỏng hoạt động của chuột
  • Thao tác tập tin (tải lên/tải xuống)
  • Liệt kê cửa sổ
  • Tạo lớp phủ ngân hàng giả

Chức năng này phản ánh các trojan ngân hàng tập trung vào LATAM như Casbaneiro, phản ánh tính liên tục về cấu trúc và hành vi trong khi sử dụng các cơ chế phân phối tiên tiến hơn.

Truyền bá WhatsApp dựa trên Python

Một cải tiến đáng chú ý trong chiến dịch này là tập lệnh Python phát tán phần mềm độc hại qua WhatsApp Web bằng công cụ tự động hóa trình duyệt Selenium. Bằng chứng cho thấy Water Saci có thể đã sử dụng các mô hình ngôn ngữ lớn hoặc công cụ dịch mã để chuyển logic phát tán PowerShell gốc sang Python. Kết quả đầu ra của giao diện điều khiển thậm chí còn bao gồm cả biểu tượng cảm xúc, làm nổi bật sự tinh vi của tập lệnh mới.

Bằng cách khai thác lòng tin và phạm vi tiếp cận của WhatsApp, Water Saci có thể tự phát tán phần mềm độc hại trên quy mô lớn, vượt qua các biện pháp phòng thủ truyền thống và nhanh chóng xâm nhập vào nạn nhân.

Kết luận: Kỷ nguyên mới của các mối đe dọa mạng dựa trên tin nhắn

Chiến dịch Water Saci nhấn mạnh một xu hướng đang gia tăng: tội phạm mạng lợi dụng các nền tảng hợp pháp như WhatsApp để triển khai phần mềm độc hại phức tạp. Bằng cách kết hợp kỹ thuật xã hội, phát triển tập lệnh hỗ trợ AI và phát tán phần mềm độc hại nhiều giai đoạn, kẻ tấn công có thể duy trì lây nhiễm trojan ngân hàng dai dẳng trong khi vẫn tránh được các biện pháp kiểm soát bảo mật thông thường.

Trường hợp này nhấn mạnh nhu cầu tăng cường cảnh giác, bảo vệ điểm cuối mạnh mẽ và nâng cao nhận thức của người dùng, đặc biệt là ở những khu vực như Brazil, nơi nền tảng nhắn tin đóng vai trò trung tâm trong giao tiếp hàng ngày.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
30,648
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...