Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Banking-Trojaner Water Saci Banking Trojan

Water Saci Banking Trojan

Von Mezo in Banking-Trojaner, Erweiterte, anhaltende Bedrohung (APT), Mobile Malware
Übersetzen Sie in:

Die Operationen von Cyberkriminellen entwickeln sich ständig weiter, und der brasilianische Akteur Water Saci hat einen bemerkenswerten Sprung in der Raffinesse seiner Vorgehensweise vollzogen. Jüngste Kampagnen nutzen mehrschichtige Infektionsketten mithilfe von HTA-Dateien, PDFs und WhatsApp, um einen Banking-Trojaner zu verbreiten und brasilianische Nutzer mit beispielloser Effizienz ins Visier zu nehmen.

Multi-Format-Angriffskette: Von PowerShell zu Python

Die jüngste Welle markiert eine bedeutende Änderung in der Taktik von Water Saci. Während der Angreifer zuvor auf PowerShell setzte, verwendet er nun eine Python-basierte Variante, die Schadsoftware wurmartig über WhatsApp Web verbreitet.

Zu den Schlüsselelementen dieser erweiterten Angriffskette gehören:

PDF-Köder : Opfer erhalten PDF-Dateien, die sie auffordern, Adobe Reader durch Anklicken eines schädlichen Links zu aktualisieren.

HTA-Dateien : Bei der Ausführung dieser Dateien werden Visual Basic Scripts gestartet, die PowerShell-Befehle aufrufen, um Nutzdaten abzurufen, darunter ein MSI-Installationsprogramm für den Trojaner und das Python-Skript, das für die Verbreitung über WhatsApp verantwortlich ist.

Dieser Multi-Format-Ansatz verdeutlicht, wie Water Saci seine Angriffsmechanismen geschichtet hat, vermutlich mithilfe von KI oder automatisierten Tools, um Skripte von PowerShell nach Python zu übersetzen. Dies erhöht die Kompatibilität, Geschwindigkeit, Widerstandsfähigkeit und Wartbarkeit der Malware-Auslieferung.

MSI-Installer & AutoIt-basierter Trojaner-Loader

Der MSI-Installer dient als Verbreitungsmechanismus für den Banking-Trojaner. Sein AutoIt-Skript erfüllt mehrere wichtige Funktionen:

  • Gewährleistet, dass nur eine Instanz des Trojaners ausgeführt wird, indem nach einer Markerdatei (executed.dat) gesucht und ein vom Angreifer kontrollierter Server benachrichtigt wird.
  • Überprüft die Systemspracheinstellungen (Portugiesisch-Brasilien) vor dem Scannen nach bankbezogenen Dateien und Anwendungen, einschließlich Bradesco, Warsaw, Topaz OFD, Sicoob und Itaú.
  • Durchsucht den Google Chrome-Verlauf nach Besuchen bei großen brasilianischen Banken: Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi und Bradesco.

Der Loader nutzt Process Hollowing und das Laden von Zwischenspeicher-PE-Dateien über TDA/DMP-Dateien, um den Trojaner in den Speicher einzuschleusen und so Tarnung und Persistenz zu erreichen. Wird der Trojanerprozess beendet, wird er automatisch erneut injiziert, sobald das Opfer eine Bankseite aufruft.

Trojaner-Funktionalität: Aggressive Aufklärung und Diebstahl von Zugangsdaten

Der Trojaner von Water Saci weist hochentwickelte Fähigkeiten zur Überwachung, Steuerung und zum Datendiebstahl auf, darunter:

  • Überwachung von Fenstertiteln zur Erkennung von Bank- oder Kryptowährungsplattformen.
  • Erzwungenes Beenden des Browsers, um die unter der Kontrolle des Angreifers stehenden Seiten wieder zu öffnen.
  • Host- und Systemerkundung mittels WMI-Abfragen.
  • Registry-Änderungen zur Gewährleistung der Persistenz.
  • C2-Kommunikation für die Fernsteuerung.
  • Zu den unterstützten Operationen gehören:
  • Systeminformationen senden
  • Tastatur- und Bildschirmaufnahme
  • Simulation der Mausaktivität
  • Dateivorgänge (Hochladen/Herunterladen)
  • Fensteraufzählung
  • Erstellung gefälschter Bank-Overlays

Diese Funktionalität ähnelt der von auf Lateinamerika fokussierten Banking-Trojanern wie Casbaneiro und spiegelt strukturelle und verhaltensbezogene Kontinuität wider, während gleichzeitig fortschrittlichere Verbreitungsmechanismen zum Einsatz kommen.

Python-basierte WhatsApp-Verbreitung

Eine bemerkenswerte Neuerung der Kampagne ist das Python-Skript, das die Malware mithilfe des Browserautomatisierungstools Selenium über WhatsApp Web verbreitet. Es gibt Hinweise darauf, dass Water Saci möglicherweise große Sprachmodelle oder Code-Übersetzungstools verwendet hat, um die ursprüngliche PowerShell-Verbreitungslogik nach Python zu portieren. Die Konsolenausgabe enthält sogar Emojis, was die Raffinesse des neuen Skripts unterstreicht.

Durch die Ausnutzung des Vertrauens und der Reichweite von WhatsApp kann Water Saci Schadsoftware in großem Umfang selbstständig verbreiten, herkömmliche Abwehrmechanismen umgehen und Opfer schnell kompromittieren.

Fazit: Eine neue Ära der nachrichtenbasierten Cyberbedrohungen

Die Water-Saci-Kampagne verdeutlicht einen wachsenden Trend: Cyberkriminelle missbrauchen legitime Plattformen wie WhatsApp, um komplexe Schadsoftware zu verbreiten. Durch die Kombination von Social Engineering, KI-gestützter Skriptentwicklung und mehrstufiger Malware-Auslieferung können Angreifer persistente Banking-Trojaner-Infektionen aufrechterhalten und gleichzeitig herkömmliche Sicherheitsvorkehrungen umgehen.

Dieser Fall unterstreicht die Notwendigkeit erhöhter Wachsamkeit, eines robusten Endpunktschutzes und eines gesteigerten Bewusstseins der Nutzer, insbesondere in Regionen wie Brasilien, wo Messaging-Plattformen eine zentrale Rolle in der täglichen Kommunikation spielen.

Im Trend

Am häufigsten gesehen

Wird geladen...