طروادة المصرفية ذئب البراري

اكتشف الباحثون مؤخرًا فيروس طروادة المصرفي الفريد المسمى "Coyote"، المصمم لجمع بيانات الاعتماد لـ 61 تطبيقًا مصرفيًا عبر الإنترنت. إن ما يميز تهديد Coyote هو استهدافه المكثف لتطبيقات القطاع المصرفي، حيث تتركز الأغلبية في البرازيل. يتميز حصان طروادة هذا بمزيجه المعقد من المكونات الأساسية والمتقدمة. على وجه التحديد، يستخدم برنامج تثبيت مفتوح المصدر جديدًا نسبيًا يسمى Squirrel، ويعتمد على NodeJs، ويستخدم لغة البرمجة الأقل شيوعًا "Nim"، ويضم أكثر من اثنتي عشرة وظيفة ضارة. ويشير هذا الاكتشاف إلى تقدم ملحوظ في سوق البرمجيات الخبيثة المالية المزدهر في البرازيل، مما قد يشكل تحديات كبيرة لفرق الأمن في حالة توسع تركيزها بشكل أكبر.

لقد ركز مجرمو الإنترنت البرازيليون على تهديدات طروادة المصرفية

لقد عمل مطورو البرامج الضارة البرازيليون بنشاط على تصميم أحصنة طروادة المصرفية لأكثر من عقدين من الزمن، ويرجع تاريخها إلى عام 2000 على الأقل. وعلى مدار 24 عامًا من التطوير المستمر، حيث تمكنوا ببراعة من التنقل والتغلب على أساليب المصادقة وتقنيات الحماية المتطورة، كان إبداعهم واضحًا، كما يتضح من ظهور أحدث طروادة.

في حين أن الخبراء يسلطون الضوء حاليًا على Coyote باعتباره تهديدًا يركز بشكل أساسي على المستهلكين البرازيليين، فإن المنظمات لديها أسباب مقنعة لمراقبة قدراتها المحتملة عن كثب. تشير الاتجاهات السابقة إلى أن عائلات البرامج الضارة الناجحة في السوق البرازيلية غالبًا ما تعمل على توسيع نطاق انتشارها على المستوى الدولي. لذلك، يجب على الشركات والبنوك أن تكون يقظة ومستعدة للتعامل مع ذئب البراري إذا اتسع نطاق تأثيره.

هناك اعتبار حاسم آخر لفرق الأمن يكمن في التقدم التاريخي لأحصنة طروادة المصرفية التي تطورت إلى أحصنة طروادة كاملة الوصول الأولي والأبواب الخلفية. تشمل الأمثلة البارزة تحولات Emotet و Trickbot ، ومؤخرًا QakBot و Ursinif. ويؤكد هذا النمط على أهمية الاهتمام بظهور أحصنة طروادة المصرفية الجديدة، حيث من المحتمل أن تتطور إلى تهديدات أكثر تعقيدًا.

تم تجهيز حصان طروادة المصرفي للذئب بغواص مليء بالقدرات الضارة

يعرض Coyote مجموعة محسنة من الوظائف، مما يسمح له بتنفيذ أوامر متنوعة مثل التقاط لقطات الشاشة، وتسجيل ضغطات المفاتيح، وإنهاء العمليات، وإيقاف تشغيل الجهاز، والتلاعب بالمؤشر. ومن الجدير بالذكر أنه يمكن أيضًا أن يؤدي إلى تجميد الجهاز من خلال تراكب شاشة خادعة "جارٍ العمل على التحديثات...".

في سلوكه العام، يلتزم Coyote بالنمط النموذجي لفيروس طروادة المصرفي الحديث. عند تنشيط تطبيق متوافق على نظام مصاب، تتواصل البرامج الضارة مع خادم الأوامر والتحكم (C2) الذي يتحكم فيه المهاجم. ثم يقدم بعد ذلك تراكبًا تصيدًا مقنعًا على شاشة الضحية لالتقاط معلومات تسجيل الدخول. ومع ذلك، فإن Coyote تميز نفسها من خلال أساليب التهرب الماهرة ضد الاكتشافات المحتملة.

على عكس العديد من أحصنة طروادة المصرفية التي تستخدم مثبتات Windows (MSI)، والتي يمكن للمدافعين عن الأمن السيبراني اكتشافها بسهولة، تختار Coyote استخدام Squirrel. Squirrel هي أداة مشروعة مفتوحة المصدر مصممة لتثبيت وتحديث تطبيقات سطح مكتب Windows. من خلال الاستفادة من Squirrel، تسعى Coyote إلى إخفاء محمل المرحلة الأولية الخبيث الخاص بها، وتقديمه على أنه أداة تحديث غير ضارة على ما يبدو.

يضيف مُحمل المرحلة النهائية طبقة أخرى من التفرد، حيث يتم ترميزه بلغة البرمجة غير الشائعة نسبيًا "Nim". يمثل هذا أحد الحالات الأولى التي يتم فيها ملاحظة حصان طروادة المصرفي باستخدام Nim.

تقليديًا، تتم كتابة أحصنة طروادة المصرفية في الغالب بلغة دلفي، وهي لغة قديمة تُستخدم على نطاق واسع عبر العديد من عائلات البرامج الضارة. ومع تحسن طرق الكشف عن برامج دلفي الضارة على مر السنين، انخفضت كفاءة الإصابة بالعدوى تدريجيًا. مع اعتماد Nim، يتبنى مطورو Coyote لغة برمجة أكثر حداثة، تتضمن ميزات جديدة وتحقق معدل اكتشاف أقل بواسطة برامج الأمان.

انتشرت أحصنة طروادة المصرفية لتصبح عملية عالمية

وفي السنوات الأخيرة، برزت البرازيل كمركز عالمي للبرمجيات الخبيثة المصرفية. وعلى الرغم من أن هذه البرامج التهديدية نشأت في البرازيل، فقد أثبتت قدرتها على اجتياز المحيطات والقارات. يمتلك المشغلون الماهرون الذين يقفون وراء هذه التهديدات خبرة واسعة في تطوير أحصنة طروادة المصرفية ويظهرون اهتمامًا كبيرًا بتوسيع هجماتهم على نطاق عالمي. ونتيجة لذلك، لاحظ الباحثون حالات من أحصنة طروادة المصرفية البرازيلية التي تستهدف كيانات وأفرادًا في مناطق بعيدة مثل أستراليا وأوروبا.

أحد الأمثلة الجديرة بالملاحظة هو جراندوريرو ، وهو حصان طروادة ذو خصائص مماثلة والذي نجح في التسلل ليس فقط إلى المكسيك وأسبانيا، بل وسع نطاق وصوله إلى ما هو أبعد من تلك الحدود. وفي ذروته، كان لهذا التهديد وجود في 41 دولة.

ومع ذلك، فإن نجاح هذه العمليات اجتذب تدقيقًا متزايدًا من جانب سلطات إنفاذ القانون. وفي خطوة ملحوظة تهدف إلى تعطيل النظام البيئي السيبراني السري الذي يسهل مثل هذه البرامج الضارة، نفذت الشرطة البرازيلية خمسة أوامر اعتقال مؤقتة و13 مذكرة تفتيش ومصادرة تستهدف الأفراد المسؤولين عن Grandoreiro عبر خمس ولايات في البرازيل.