Devis de remise multi-licences
Données concernant les menaces Cheval de Troie bancaire Cheval de Troie bancaire Water Saci

Cheval de Troie bancaire Water Saci

Par Mezo en Cheval de Troie bancaire, Menace persistante avancée (APT), Logiciels malveillants mobiles
Se traduisent par :

Les opérations cybercriminelles continuent d'évoluer, et le groupe brésilien Water Saci a fait preuve d'une sophistication remarquable. Ses campagnes récentes exploitent des chaînes d'infection à plusieurs niveaux, utilisant des fichiers HTA, des PDF et WhatsApp pour propager un cheval de Troie bancaire, ciblant les utilisateurs brésiliens avec une efficacité sans précédent.

Chaîne d’attaque multiformat : de PowerShell à Python

Cette nouvelle vague marque un tournant important dans les tactiques de Water Saci. Auparavant adepte de PowerShell, ce groupe de cybercriminels utilise désormais une variante basée sur Python qui propage des logiciels malveillants à la manière d'un ver via WhatsApp Web.

Les éléments clés de cette chaîne d'attaque améliorée comprennent :

Pièges PDF : Les victimes reçoivent des fichiers PDF leur demandant de mettre à jour Adobe Reader en cliquant sur un lien malveillant.

Fichiers HTA : Lorsqu’ils sont exécutés, ces fichiers lancent des scripts Visual Basic qui lancent des commandes PowerShell pour récupérer des charges utiles, notamment un programme d’installation MSI pour le cheval de Troie et le script Python responsable de la propagation via WhatsApp.

Cette approche multiformat illustre la manière dont Water Saci a structuré ses mécanismes d'attaque, probablement en utilisant l'IA ou des outils automatisés pour traduire les scripts PowerShell en Python. Cela améliore la compatibilité, la rapidité, la résilience et la maintenabilité de la diffusion du logiciel malveillant.

Programme d’installation MSI et chargeur de cheval de Troie basé sur AutoIt

Le programme d'installation MSI sert de vecteur de diffusion au cheval de Troie bancaire. Son script AutoIt remplit plusieurs fonctions essentielles :

  • Garantit qu'une seule instance du cheval de Troie est en cours d'exécution en vérifiant la présence d'un fichier marqueur (executed.dat) et en notifiant un serveur contrôlé par l'attaquant.
  • Vérifie les paramètres de langue du système (portugais-brésilien) avant de rechercher les fichiers et applications liés aux services bancaires, notamment Bradesco, Warsaw, Topaz OFD, Sicoob et Itaú.
  • Recherche dans l'historique de Google Chrome les visites dans les principales banques brésiliennes : Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi et Bradesco.

Le programme d'exécution utilise le détournement de processus et le chargement de fichiers PE intermédiaires via des fichiers TDA/DMP pour injecter le cheval de Troie en mémoire, assurant ainsi sa furtivité et sa persistance. Si le processus du cheval de Troie est interrompu, il se réinjecte automatiquement lorsque la victime accède à un site bancaire.

Fonctionnalités du cheval de Troie : Reconnaissance agressive et vol d’identifiants

Le cheval de Troie de Water Saci présente des capacités avancées de surveillance, de contrôle et de vol de données, notamment :

  • Surveillance des titres de fenêtres pour détecter les plateformes bancaires ou de cryptomonnaies.
  • Fermeture forcée du navigateur pour rouvrir les sites contrôlés par l'attaquant.
  • Reconnaissance de l'hôte et du système via des requêtes WMI.
  • Modifications du registre pour la persistance.
  • Communication C2 pour la télécommande.
  • Les opérations prises en charge comprennent :
  • Informations du système d'envoi
  • Capture du clavier et de l'écran
  • Simulation de l'activité de la souris
  • Opérations sur les fichiers (téléversement/envoi)
  • énumération des fenêtres
  • Création de fausses interfaces bancaires

Cette fonctionnalité est similaire à celle des chevaux de Troie bancaires ciblant l'Amérique latine, comme Casbaneiro, reflétant une continuité structurelle et comportementale tout en employant des mécanismes de diffusion plus avancés.

Propagation WhatsApp basée sur Python

Une innovation notable de cette campagne réside dans le script Python qui propage le logiciel malveillant via WhatsApp Web grâce à l'outil d'automatisation de navigateur Selenium. Tout porte à croire que Water Saci a utilisé des modèles de langage complexes ou des outils de traduction de code pour adapter la logique de propagation PowerShell originale à Python. La présence d'émojis dans les résultats de la console témoigne de la sophistication du nouveau script.

En exploitant la confiance et la portée de WhatsApp, Water Saci peut se propager à grande échelle grâce à des logiciels malveillants, contournant les défenses traditionnelles et compromettant rapidement les victimes.

Conclusion : Une nouvelle ère de cybermenaces véhiculées par la messagerie

La campagne Water Saci met en lumière une tendance croissante : les cybercriminels utilisent des plateformes légitimes comme WhatsApp pour déployer des logiciels malveillants complexes. En combinant ingénierie sociale, développement de scripts assisté par l’IA et diffusion de logiciels malveillants en plusieurs étapes, les acteurs malveillants peuvent maintenir des infections persistantes par des chevaux de Troie bancaires tout en contournant les contrôles de sécurité classiques.

Ce cas souligne la nécessité d'une vigilance accrue, d'une protection robuste des terminaux et d'une sensibilisation des utilisateurs, notamment dans des régions comme le Brésil, où les plateformes de messagerie jouent un rôle central dans la communication quotidienne.

Tendance

Le plus regardé

Chargement...