حصان طروادة المصرفي GoldPickaxe
تم التعرف على ممثل تهديد متطور يُعرف باسم GoldFactory، ويتحدث اللغة الصينية بطلاقة، باعتباره مبتكر أحصنة طروادة المصرفية المتقدمة. أحد أحدث إبداعاتهم هو برنامج ضار غير موثق يعمل بنظام iOS يُسمى GoldPickaxe، وهو قادر على جمع مستندات الهوية وبيانات التعرف على الوجه واعتراض الرسائل القصيرة.
لقد تحقق الباحثون من أن عائلة GoldPickaxe تستهدف كلاً من منصات iOS وAndroid. يُعتقد أن مجموعة الجرائم الإلكترونية GoldFactory جيدة التنظيم وتتحدث اللغة الصينية، وترتبط ارتباطًا وثيقًا بـ Gigabud.
تعمل GoldFactory منذ منتصف عام 2023 على الأقل، وهي مسؤولة عن تطوير البرنامج الضار للخدمات المصرفية المستندة إلى Android GoldDigger، إلى جانب متغيرها المحسّن GoldDiggerPlus. بالإضافة إلى ذلك، قاموا بإنشاء GoldKefu، وهو حصان طروادة مضمن في GoldDiggerPlus.
جدول المحتويات
يستخدم المهاجمون تقنيات التصيد الاحتيالي المختلفة لنشر GoldPickaxe
تم تحديد حملات التهديد بالهندسة الاجتماعية التي تنشر البرامج الضارة، مع التركيز على منطقة آسيا والمحيط الهادئ، وخاصة تايلاند وفيتنام. يتنكر المهاجمون في هيئة بنوك محلية وكيانات حكومية.
في هذه الهجمات المستهدفة، يتلقى الأفراد رسائل خادعة ورسائل تصيد احتيالي، مما يدفعهم إلى تحويل المحادثة إلى تطبيقات المراسلة الفورية مثل LINE. وبعد ذلك، يرسل المهاجمون عناوين URL احتيالية، مما يؤدي إلى تثبيت GoldPickaxe على أجهزة الضحايا.
تتم استضافة بعض التطبيقات غير الآمنة المصممة لنظام التشغيل Android على مواقع ويب مزيفة، أو تحاكي صفحات متجر Google Play أو مواقع الشركات المزيفة، لتنفيذ عملية التثبيت بنجاح.
التكتيكات الجديدة التي يعرضها مجرمو الإنترنت GoldFactory
تختلف طريقة توزيع GoldPickaxe لنظام iOS، حيث تستخدم أسلوبًا فريدًا. إنه يستخدم منصة TestFlight من Apple ويستخدم عناوين URL مفخخة. تشجع عناوين URL هذه المستخدمين على تنزيل ملف تعريف إدارة الأجهزة المحمولة (MDM)، مما يمنحهم التحكم الكامل في أجهزة iOS وتسهيل تثبيت التطبيق المخادع. تم الكشف عن أساليب التوزيع هذه من قبل فريق الاستجابة لحالات الطوارئ (CERT) في القطاع المصرفي التايلاندي (TB-CERT) ومكتب التحقيق في الجرائم الإلكترونية (CCIB) في نوفمبر 2023.
ويتجلى مدى تطور GoldPickaxe أيضًا في قدرته على التحايل على الإجراءات الأمنية المفروضة في تايلاند. تفرض هذه الإجراءات على المستخدمين تأكيد المعاملات الأكثر أهمية باستخدام التعرف على الوجه لمنع الاحتيال. يحث GoldPickaxe الضحايا ببراعة على تسجيل مقطع فيديو كطريقة تأكيد داخل التطبيق المخادع. يعد الفيديو المسجل بمثابة مادة خام لصياغة مقاطع فيديو مزيفة بعمق من خلال خدمات الذكاء الاصطناعي لتبادل الوجوه.
علاوة على ذلك، يمتلك كل من الإصدارين Android وiOS من البرامج الضارة القدرة على جمع مستندات وصور هوية الضحية، واعتراض الرسائل النصية القصيرة الواردة وتوجيه حركة المرور عبر الجهاز المخترق. هناك شك في أن الجهات الفاعلة في GoldFactory تستخدم أجهزتها الخاصة لتسجيل الدخول إلى التطبيقات المصرفية وتنفيذ عمليات تحويل أموال غير مصرح بها.
الاختلافات بين إصدارات iOS وAndroid GoldPickaxe
يُظهر إصدار iOS من GoldPickaxe وظائف أقل مقارنةً بنظيره Android. يُعزى هذا التناقض إلى الطبيعة المغلقة لنظام التشغيل iOS وبروتوكولات الأذونات الصارمة نسبيًا.
متغير Android، الذي يُنظر إليه على أنه خليفة تطوري لـ GoldDiggerPlus، يتنكر في أكثر من 20 تطبيقًا مختلفًا مرتبطًا بالحكومة التايلاندية والقطاع المالي وشركات المرافق. هدفها الأساسي هو سرقة بيانات اعتماد تسجيل الدخول من هذه الخدمات. ومع ذلك، فإن النوايا الدقيقة للجهات الفاعلة في مجال التهديد بهذه المعلومات المجمعة لا تزال غير واضحة.
ومن الخصائص الأخرى الجديرة بالملاحظة لهذه البرمجيات الخبيثة استغلالها لخدمات إمكانية الوصول في Android لتسجيل ضغطات المفاتيح والتقاط المحتوى الذي يظهر على الشاشة.
