من البرمجيات المصرفية الخبيثة
المصدر -
بدأ مجرموا الإنترنت البرازيليون، الذين لطالما اعتبروا من بين أكثر مطوري البرمجيات الخبيثة إبداعًا، في الانتقال بإنتاجاتهم من البرمجيات الخبيثة الأصلية إلى خارج البلاد. وقد وجد باحثون لدى كاسبرسكي أن أربع عائلات من البرمجيات المصرفية الخبيثة المتقدمة المعروفة في البرازيل؛ Guildma وJavali وMelcoz وGrandoreiro، بدأت في استهداف المستخدمين في أمريكا الشمالية وأوروبا وأمريكا اللاتينية. وتُعرف هذه العائلات الأربع مجتمعةً باسم Tetrade، وتمثل أحدث الابتكارات في مجال البرمجيات المصرفية الخبيثة، بعد أن وظّفت مجموعة متنوعة وجديدة من أساليب التملّص والمراوغة.
وتُعدّ البرازيل موطنًا لبعض أكثر المجرمين الإلكترونيين نشاطًا وإبداعًا اليوم، ولكنها لطالما كانت "نقطة ساخنة" للتروجانات المصرفية، وهي نوع من البرمجيات الخبيثة التي تسرق البيانات المصرفية المستخدمة في عمليات السداد الإلكتروني للمدفوعات والوصول إلى أنظمة الخدمات المصرفية عبر الإنترنت، وتقدّمها للمجرمين كي يتمكنوا من سحب الأموال من حسابات الضحايا.
وكان المجرمون البرازيليون في الماضي يركزون نشاطهم في المقام الأول على استهداف عملاء المؤسسات المالية المحلية، وهو ما بدأ يتغير في بداية العام 2011 عندما شرعت مجموعات قليلة في تجربة "تصدير" التروجانات الأساسية إلى الخارج محققين نجاحات محدودة. أمّا الآن، في العام 2020، فقد نفّذت أربع عائلات تُعرَف مجتمعةً بالاسم Tetrade، الابتكارات اللازمة لتوزيع نشاطها في جميع أنحاء العالم.
وتنشط عائلة واحدة من العائلات الأربع، وهي Guildma، منذ العام 2015 وتنتشر عبر رسائل البريد الإلكتروني التصيدية التي تتستّر تحت غطاء وهمي لاتصالات أو إشعارات تجارية رسمية.
واكتسبت Guildma، منذ اكتشافها، العديد من أساليب التملّص الجديدة، ما صعّب من الكشف عن نشاطها التخريبي، لا سيما بعد أن بدأت في العام 2019 بإخفاء حمولتها الخبيثة داخل جهاز الضحية ضمن ملف ذي تنسيق خاص. كذلك تخزّن Guildma اتصالاتها مع خادم التحكّم بتنسيق مشفر على صفحات Facebook وYouTube، ما يصعّب تمييز حركة البيانات بين الجهاز المصاب وتلك الصفحات. ونظرًا لأن حلول مكافحة الفيروسات لا تحظر أيًا من هذين الموقعين، فإن ذلك يضمن لخادم التحكّم تنفيذ الأوامر من دون انقطاع. وأصبحت Guildma الآن منتشرة في أمريكا الجنوبية والولايات المتحدة والبرتغال وإسبانيا، بعد أن كانت قبل 2015 نشطة في البرازيل وحدها.
وشوهدت كذلك، خارج البرازيل، عائلة تروجانات محلية أخرى تعرف باسم Javali وتنشط منذ العام 2017؛ إذ أصبحت تستهدف عملاء البنوك في المكسيك. وهي بدورها تنتشر عبر رسائل البريد الإلكتروني التصيدية، وبدأت في استخدام YouTube لاستضافة اتصالاتها بخادم التحكّم الخاص بها.
أما العائلة الثالثة، Melcoz، فتنشط منذ العام 2018، لكن انتشارها توسّع منذ ذلك الحين إلى دول مثل المكسيك وإسبانيا.
أخيرًا، بدأت عائلة Grandoreiro في استهداف المستخدمين في أمريكا اللاتينية قبل التوسّع إلى بلدان أوروبية، وهي الأوسع انتشارًا من بين العائلات الأربع، وتنشط منذ العام 2016 متبعة في عملها نموذج "البرمجيات الخبيثة كخدمة"؛ إذ إنها متاحة أمام مختلف مجرمي الإنترنت الذين بوسعهم شراء إمكانية الوصول إلى الأدوات اللازمة لشن هجماتهم باستخدامها.
ويجري توزيع هذه العائلة عبر مواقع الويب المخترقة، وكذلك عبر التصيّد الموجّه، وهي تُخفي اتصالات خادم التحكّم الخاص بها على مواقع رسمية، مثلها مثل Guildma وJavali.
وقال دميتري بستوزيف رئيس فريق البحث والتحليل العالمي في أمريكا اللاتينية لدى كاسبرسكي، إن المجرمين الإلكترونيين البرازيليين، مثل من يقفون وراء عائلات البرمجيات المصرفية الخبيثة الأربع هذه، ينشطون في تجنيد حلفاء للعمل معهم في بلدان أخرى لتصدير نشاطهم التخريبي بنجاح إلى جميع أنحاء العالم، مشيرًا إلى أن "حريصون على الابتكار المستمر وإضافة حيل وأساليب جديدة لإخفاء نشاطهم التخريبي وجعل هجماتهم أكثر ربحًا". ورجّح بستوزيف أن تبدأ هذه العائلات الأربع في مهاجمة مزيد من عملاء البنوك في دول أخرى، وأن تظهر عائلات جديدة بموازاتها، داعيًا المؤسسات المالية إلى "الحرص على مراقبة هذه التهديدات عن كثب واتخاذ التدابير اللازمة لتعزيز قدراتها على مكافحة الاحتيال".
يمكن التعرف على المزيد حول هذه العائلات المصرفية المتطورة من خلال صفحة Securelist.
ويوصي خبراء كاسبرسكي المؤسسات المالية باتباع التدابير التالية لحماية أنفسها وعملائها من عائلات التروجانات المصرفية الأربع هذه وغيرها:
• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات المتعلقة بالتهديدات الرقمية، لإبقائه على اطلاع دائم على أحدث الأدوات والتكتيكات والأساليب الجديدة والناشئة التي يلجأ إليها مجرمو الإنترنت والجهات القائمة وراء التهديدات. ويحتوي Kaspersky Financial Threat Intelligence Reporting، مثلًا، على مؤشرات الاختراق وقواعد Yara والتجزئات الخاصة بهذه التهديدات.
• توعية العملاء بشأن الحيل التي قد يستخدمها مجرمو الإنترنت، وذلك عبر مراسلات منتظمة تتضمّن معلومات وإرشادات حول كيفية تحديد عمليات الاحتيال والتصرّف إزاءها.
• توظيف حلّ أمني تقني لمكافحة الاحتيال قادرٍ على كشف حالات الاحتيال المعقدة، مثل الحل Kaspersky Fraud Prevention، الذي لا يقتصر دوره على مكافحة الاحتيال عبر جلسات متخصصة للتصدّي للمحاولات الخبيثة في مرحلة حضانة البرمجيات الخبيثة المختصة بسرقة الأموال (مثل حَقن نصوص "جافا سكريبت"، والاتصال عبر أدوات الإدارة عن بعد المخفية، واستغلال مواقع الويب)، وإنما يمتدّ ليشمل أيضًا تحديد سوء السلوك اللاحق في الحسابات المصرفية.
وتُعدّ البرازيل موطنًا لبعض أكثر المجرمين الإلكترونيين نشاطًا وإبداعًا اليوم، ولكنها لطالما كانت "نقطة ساخنة" للتروجانات المصرفية، وهي نوع من البرمجيات الخبيثة التي تسرق البيانات المصرفية المستخدمة في عمليات السداد الإلكتروني للمدفوعات والوصول إلى أنظمة الخدمات المصرفية عبر الإنترنت، وتقدّمها للمجرمين كي يتمكنوا من سحب الأموال من حسابات الضحايا.
وكان المجرمون البرازيليون في الماضي يركزون نشاطهم في المقام الأول على استهداف عملاء المؤسسات المالية المحلية، وهو ما بدأ يتغير في بداية العام 2011 عندما شرعت مجموعات قليلة في تجربة "تصدير" التروجانات الأساسية إلى الخارج محققين نجاحات محدودة. أمّا الآن، في العام 2020، فقد نفّذت أربع عائلات تُعرَف مجتمعةً بالاسم Tetrade، الابتكارات اللازمة لتوزيع نشاطها في جميع أنحاء العالم.
وتنشط عائلة واحدة من العائلات الأربع، وهي Guildma، منذ العام 2015 وتنتشر عبر رسائل البريد الإلكتروني التصيدية التي تتستّر تحت غطاء وهمي لاتصالات أو إشعارات تجارية رسمية.
واكتسبت Guildma، منذ اكتشافها، العديد من أساليب التملّص الجديدة، ما صعّب من الكشف عن نشاطها التخريبي، لا سيما بعد أن بدأت في العام 2019 بإخفاء حمولتها الخبيثة داخل جهاز الضحية ضمن ملف ذي تنسيق خاص. كذلك تخزّن Guildma اتصالاتها مع خادم التحكّم بتنسيق مشفر على صفحات Facebook وYouTube، ما يصعّب تمييز حركة البيانات بين الجهاز المصاب وتلك الصفحات. ونظرًا لأن حلول مكافحة الفيروسات لا تحظر أيًا من هذين الموقعين، فإن ذلك يضمن لخادم التحكّم تنفيذ الأوامر من دون انقطاع. وأصبحت Guildma الآن منتشرة في أمريكا الجنوبية والولايات المتحدة والبرتغال وإسبانيا، بعد أن كانت قبل 2015 نشطة في البرازيل وحدها.
وشوهدت كذلك، خارج البرازيل، عائلة تروجانات محلية أخرى تعرف باسم Javali وتنشط منذ العام 2017؛ إذ أصبحت تستهدف عملاء البنوك في المكسيك. وهي بدورها تنتشر عبر رسائل البريد الإلكتروني التصيدية، وبدأت في استخدام YouTube لاستضافة اتصالاتها بخادم التحكّم الخاص بها.
أما العائلة الثالثة، Melcoz، فتنشط منذ العام 2018، لكن انتشارها توسّع منذ ذلك الحين إلى دول مثل المكسيك وإسبانيا.
أخيرًا، بدأت عائلة Grandoreiro في استهداف المستخدمين في أمريكا اللاتينية قبل التوسّع إلى بلدان أوروبية، وهي الأوسع انتشارًا من بين العائلات الأربع، وتنشط منذ العام 2016 متبعة في عملها نموذج "البرمجيات الخبيثة كخدمة"؛ إذ إنها متاحة أمام مختلف مجرمي الإنترنت الذين بوسعهم شراء إمكانية الوصول إلى الأدوات اللازمة لشن هجماتهم باستخدامها.
ويجري توزيع هذه العائلة عبر مواقع الويب المخترقة، وكذلك عبر التصيّد الموجّه، وهي تُخفي اتصالات خادم التحكّم الخاص بها على مواقع رسمية، مثلها مثل Guildma وJavali.
وقال دميتري بستوزيف رئيس فريق البحث والتحليل العالمي في أمريكا اللاتينية لدى كاسبرسكي، إن المجرمين الإلكترونيين البرازيليين، مثل من يقفون وراء عائلات البرمجيات المصرفية الخبيثة الأربع هذه، ينشطون في تجنيد حلفاء للعمل معهم في بلدان أخرى لتصدير نشاطهم التخريبي بنجاح إلى جميع أنحاء العالم، مشيرًا إلى أن "حريصون على الابتكار المستمر وإضافة حيل وأساليب جديدة لإخفاء نشاطهم التخريبي وجعل هجماتهم أكثر ربحًا". ورجّح بستوزيف أن تبدأ هذه العائلات الأربع في مهاجمة مزيد من عملاء البنوك في دول أخرى، وأن تظهر عائلات جديدة بموازاتها، داعيًا المؤسسات المالية إلى "الحرص على مراقبة هذه التهديدات عن كثب واتخاذ التدابير اللازمة لتعزيز قدراتها على مكافحة الاحتيال".
يمكن التعرف على المزيد حول هذه العائلات المصرفية المتطورة من خلال صفحة Securelist.
ويوصي خبراء كاسبرسكي المؤسسات المالية باتباع التدابير التالية لحماية أنفسها وعملائها من عائلات التروجانات المصرفية الأربع هذه وغيرها:
• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات المتعلقة بالتهديدات الرقمية، لإبقائه على اطلاع دائم على أحدث الأدوات والتكتيكات والأساليب الجديدة والناشئة التي يلجأ إليها مجرمو الإنترنت والجهات القائمة وراء التهديدات. ويحتوي Kaspersky Financial Threat Intelligence Reporting، مثلًا، على مؤشرات الاختراق وقواعد Yara والتجزئات الخاصة بهذه التهديدات.
• توعية العملاء بشأن الحيل التي قد يستخدمها مجرمو الإنترنت، وذلك عبر مراسلات منتظمة تتضمّن معلومات وإرشادات حول كيفية تحديد عمليات الاحتيال والتصرّف إزاءها.
• توظيف حلّ أمني تقني لمكافحة الاحتيال قادرٍ على كشف حالات الاحتيال المعقدة، مثل الحل Kaspersky Fraud Prevention، الذي لا يقتصر دوره على مكافحة الاحتيال عبر جلسات متخصصة للتصدّي للمحاولات الخبيثة في مرحلة حضانة البرمجيات الخبيثة المختصة بسرقة الأموال (مثل حَقن نصوص "جافا سكريبت"، والاتصال عبر أدوات الإدارة عن بعد المخفية، واستغلال مواقع الويب)، وإنما يمتدّ ليشمل أيضًا تحديد سوء السلوك اللاحق في الحسابات المصرفية.