Кибербезопасность: Анализ связи между двумя эволюционирующими бразильскими банковскими троянами

Инцидент начался с обнаружения подозрительной загрузки файла через мессенджер WhatsApp. Специалисты SOC (Security Operations Center) и охотники за угрозами компании CyberProof идентифицировали серию связанных инцидентов, хотя полная цепочка заражения не была полностью восстановлена в ходе расследования. Дополнительно исследователи провели анализ похожих файлов через VirusTotal, что позволило собрать больше образцов, связанных с данной целевой кампанией.

Технический анализ показал поразительное сходство между троянцами Maverick и Coyote. Оба распространяются через WhatsApp, используют многостадийные атаки, начинающиеся с LNK-файлов, которые запускают PowerShell, применяют схожие алгоритмы шифрования для расшифровки URL-адресов банков и имеют почти идентичный код для мониторинга банковских приложений. Кроме того, оба троянца написаны на .NET и ориентированы на бразильских пользователей и финансовые организации.

В одном из инцидентов с Maverick исследователи наблюдали загрузку ZIP-архива с именем NEW-20251001_152441-PED_561BCF01.zip через web.whatsapp.com. Когда пользователь запускает LNK-файл, происходит деобфускация кода, который затем создает и запускает команды cmd или PowerShell для подключения к серверу злоумышленника и загрузки первой стадии полезной нагрузки.

Злоумышленники применяют сложные методы обфускации, включая разделение токенов и кодирование полезной нагрузки PowerShell в Base64 и UTF16LE. Например, в команде используется множество циклов for для построения строк по частям, что позволяет избежать появления полной вредоносной команды в открытом виде. После выполнения циклов формируется команда PowerShell, которая загружает и исполняет скрипт с удаленного сервера.

К сожалению, на момент исследования сервер управления и контроля (C2) возвращал ошибку 404, поэтому следующая стадия заражения не была наблюдена. Однако анализ других подобных инцидентов и публичных отчетов подтвердил, что цепочка атаки соответствует ранее наблюдаемым методам. Вторая стадия PowerShell обычно отключает настройки безопасности, такие как Microsoft Defender и UAC, после чего устанавливает исходящее соединение с IP-адресом 109.176.30[.]141.

Исследователи также обнаружили .NET-загрузчик, который проверяет наличие средств обратной разработки и при их обнаружении самозавершается. Если проверка проходит успешно, загрузчик пытается установить соединение с двумя URL-адресами, один из которых, вероятно, отвечает за возможности похищения данных, а второй - за модуль перехвата WhatsApp Web.

Следующая фаза атаки нацелена на пользователей WhatsApp через модуль распространения и на бразильские банки через банковский модуль Maverick. Постоянство (persistence) достигается путем размещения BAT-файла в папке автозагрузки с шаблоном имени HealthApp-GUID.bat. Код этого файла создает новую команду для установления исходящего соединения с C2-сервером.

Модуль Maverick Agent проверяет, находится ли жертва в Бразилии, и в противном случае завершает работу. Он поддерживает различные команды для взаимодействия с сервером злоумышленника, включая возможности выполнения произвольных команд, загрузки и выполнения файлов, а также сбора системной информации.

Оба троянца используют схожие методы шифрования для расшифровки URL-адресов целевых бразильских финансовых организаций, применяя AES в режиме CBC вместе с GZIP для данных, хранящихся в Base64. Среди целей значатся такие крупные банки и финансовые платформы, как Bradesco, Banco do Brasil, Caixa, Itaú, Safra, а также криптовалютные биржи Binance и Mercado Bitcoin.

В заключение исследователи предлагают охотничий запрос (hunting query) для выявления подозрительных файлов, загруженных через WhatsApp, что позволит командам SOC и охотникам за угрозами оперативно обнаруживать неизвестные загрузки и предотвращать потенциальные инциденты. Этот запрос ищет события загрузки файлов через браузеры с web.whatsapp.com, после которых в течение часа запускается PowerShell из cmd.exe, что является типичным поведением для подобных атак.

Эксперты подчеркивают важность постоянного мониторинга и анализа подобных угроз, особенно учитывая их целенаправленный характер и использование популярных платформ для распространения. Бразильские пользователи и финансовые организации должны проявлять особую бдительность при работе с файлами, полученными через мессенджеры, и обеспечивать актуальность средств защиты.

IPv4

• 109.176.30.141
• 181.41.201.184
• 77.111.101.169

Domains

• casadecampoamazonas.com
• sorvetenopote.com
• zapgrande.com

URLs

• https://zapgrande.com/api/itbi/BrDLwQ4tU70zZUeEHSSimym64kqXVG39

SHA1

• 835478d00945db56658a5f694f4ac9f5d49930db
• aa29bc5cf8eaf5435a981025a73665b16abb294e

SHA256

• 77ea1ef68373c0dd70105dea8fc4ab41f71bbe16c72f3396ad51a64c281295ff
• 949be42310b64320421d5fd6c41f83809e8333825fb936f25530a125664221de