BankGhost Builder
Изследователи по киберсигурност откриха реклама, базирана в Telegram, промотираща „BankGhost Builder“ – сложна платформа за създаване на зловреден софтуер, проектирана да генерира банкови троянци с интегрирано командване и контрол (C2), механизми за фишинг доставяне и възможности, фокусирани върху измами. Съобщава се, че конструкторът се разпространява чрез подземни общности в Telegram, което засилва опасенията относно бързото разрастване на операциите „зловреден софтуер като услуга“ (MaaS).
Рамката за зловреден софтуер се предлага на пазара от свързана с Telegram група за заплахи, известна като Infrastructure Destruction Squad (IDS), известна още като Dark Engine. Популяризирането ѝ в киберпрестъпните екосистеми демонстрира активни усилия за комерсиализиране на разработването на усъвършенстван зловреден софтуер и за улесняване на достъпа до финансовите киберпрестъпления за по-малко технически квалифицирани участници.
Съдържание
Отрядът за унищожаване на инфраструктура разширява влиянието си в подземните райони
Отрядът за унищожаване на инфраструктурата (Ifrastructure Destruction Squad) се появи на видно място в края на 2025 г. и продължи да се нарежда сред най-тревожните киберзаплахи през цялата 2026 г. За разлика от много проруски хакерски групи, които разчитат предимно на разрушителни DDoS (разпределени атаки за отказ от услуга), IDS привлече вниманието заради предполагаеми прониквания, включващи индустриални системи за управление (ICS) и SCADA среди.
Колективът е свързван и с подземни дейности, включващи популяризирането на инструменти за офанзивно хакерство и публикуването на откраднати данни и изтичане на информация от нарушения. С аудитория в Telegram, надхвърляща 1600 абонати, групата допринася за ускореното разпространение на сложни киберзаплахи, като опростява достъпа до усъвършенствани възможности за атака.
BankGhost Builder комбинира внедряване на зловреден софтуер и операции срещу измами
BankGhost Builder се рекламира като цялостна рамка за защита от зловреден софтуер в банковата система, способна да поддържа целия жизнен цикъл на кибератаките. Според рекламните материали, платформата предлага поддръжка за повече от 700 банкови институции в Индия, Северна Америка, Европа и Азиатско-тихоокеанския регион.
Конструкторът интегрира генериране на полезен товар, фишинг инфраструктура, внедряване на C2 и изпълнение на измами в една екосистема. Съобщава се, че наборът от функции включва полиморфно криптиране, маскиране на процеси и техники за инжектиране на полезен товар, предназначени да избегнат откриването от традиционните инструменти за сигурност. В допълнение, зловредният софтуер поддържа множество комуникационни канали, включително HTTPS, DNS-over-HTTPS, Tor и WebSocket протоколи.
Платформата съдържа и функции за директно разрешаване на измами, като например събиране на идентификационни данни, отвличане на сесии, уеб инжектиране и техники, предназначени за заобикаляне на защитите с двуфакторно удостоверяване. Тези възможности много наподобяват тези, свързани с добре познатите семейства банков зловреден софтуер, включително Zeus, Dridex и TrickBot, но сега са пакетирани в по-лесен за внедряване формат за изграждане.
По-ниските бариери за навлизане увеличават риска във финансовия сектор
Появата на BankGhost Builder отразява продължаващата индустриализация на киберпрестъпността, където усъвършенстваните офанзивни възможности се пакетират, предлагат на пазара и разпространяват в голям мащаб. Модулната му архитектура и персонализираното генериране на полезен товар намаляват зависимостта от статични индикатори за компрометиране, което усложнява усилията за атрибуция и откриване на престъпления за защитниците.
Анализаторите по сигурността предупреждават, че широкото разпространение на подобни инструменти вероятно ще ускори няколко основни тенденции в заплахите, включително:
Увеличени фишинг кампании със зловреден софтуер, насочени към клиенти и служители на банки
Нарастващи инциденти с поглъщане на акаунти (ATO) и по-сложни локализирани измами
Тези развития биха могли значително да разширят оперативния обхват на киберпрестъпните групи, които преди това не са имали експертния опит за самостоятелно провеждане на напреднали банкови атаки.
Финансовите институции са призовани да засилят защитните си стратегии
За да се смекчи нарастващата заплаха, породена от усъвършенстваните разработчици на зловреден софтуер за банкиране, финансовите институции се насърчават да приемат стратегии за сигурност, основани на разузнаване и фокусирани върху поведението. Препоръчителните защитни мерки включват:
- Мониторинг на необичайно изпълнение на процеси, манипулиране на клипборда и поведение при заснемане на екрана чрез поведенчески анализи
- Откриване на подозрителни криптирани модели на трафик, включително DNS-over-HTTPS и Tor комуникации
- Прилагане на строги контроли за сигурност на имейлите, като например изолация на прикачени файлове в пясъчник и ограничения за високорискови типове файлове, включително MSI, DLL и EXE файлове
- Подобряване на програмите за предотвратяване на измами чрез снемане на пръстови отпечатъци на устройства, откриване на аномалии в транзакциите и усъвършенствано наблюдение на поведението
Проактивната и многопластова стратегия за защита остава от съществено значение, тъй като подземните киберпрестъпни общности продължават да ускоряват приемането и разпространението на сложни платформи за зловреден софтуер, като например BankGhost Builder.
