Δημιουργός BankGhost
Ερευνητές κυβερνοασφάλειας ανακάλυψαν μια διαφήμιση που βασίζεται στο Telegram και προωθεί το «BankGhost Builder», μια εξελιγμένη πλατφόρμα δημιουργίας κακόβουλου λογισμικού που έχει σχεδιαστεί για να δημιουργεί τραπεζικά trojan με ενσωματωμένη λειτουργία Command-and-Control (C2), μηχανισμούς παράδοσης ηλεκτρονικού «ψαρέματος» (phishing) και δυνατότητες που εστιάζουν στην απάτη. Το «builder» φέρεται να διανέμεται μέσω υπόγειων κοινοτήτων του Telegram, ενισχύοντας τις ανησυχίες για την ταχεία επέκταση των λειτουργιών Malware-as-a-Service (MaaS).
Το πλαίσιο κακόβουλου λογισμικού διατίθεται στην αγορά από μια συλλογική ομάδα απειλών που συνδέεται με το Telegram, γνωστή ως Infrastructure Destruction Squad (IDS), η οποία επίσης καταγράφεται ως Dark Engine. Η προώθησή του σε οικοσυστήματα κυβερνοεγκλήματος καταδεικνύει μια ενεργή προσπάθεια εμπορευματοποίησης της ανάπτυξης προηγμένου κακόβουλου λογισμικού και κατέστησε το οικονομικό κυβερνοέγκλημα πιο προσιτό σε λιγότερο τεχνικά καταρτισμένους παράγοντες.
Πίνακας περιεχομένων
Η Ομάδα Καταστροφής Υποδομών Επεκτείνει την Υπόγεια Επιρροή της
Η Ομάδα Καταστροφής Υποδομών εμφανίστηκε εξέχουσα θέση στα τέλη του 2025 και συνέχισε να κατατάσσεται μεταξύ των πιο ανησυχητικών κυβερνοαπειλών καθ' όλη τη διάρκεια του 2026. Σε αντίθεση με πολλές φιλορωσικές ομάδες χάκερ που βασίζονται κυρίως σε ανατρεπτικές επιθέσεις Distributed Denial-of-Service (DDoS), η IDS έχει τραβήξει την προσοχή για φερόμενες εισβολές που αφορούν περιβάλλοντα Βιομηχανικών Συστημάτων Ελέγχου (ICS) και SCADA.
Η ομάδα έχει επίσης συνδεθεί με υπόγειες δραστηριότητες που αφορούν την προώθηση επιθετικών εργαλείων hacking και τη δημοσίευση κλεμμένων δεδομένων και διαρροών παραβιάσεων. Με κοινό στο Telegram που υπερβαίνει τους 1.600 συνδρομητές, η ομάδα συμβάλλει στην επιταχυνόμενη εξάπλωση εξελιγμένων κυβερνοαπειλών απλοποιώντας την πρόσβαση σε προηγμένες δυνατότητες επίθεσης.
Το BankGhost Builder συνδυάζει την ανάπτυξη κακόβουλου λογισμικού και τις επιχειρήσεις απάτης
Το BankGhost Builder διαφημίζεται ως ένα ολοκληρωμένο πλαίσιο κακόβουλου λογισμικού τραπεζών ικανό να υποστηρίξει ολόκληρο τον κύκλο ζωής κυβερνοεπιθέσεων. Σύμφωνα με το διαφημιστικό υλικό, η πλατφόρμα προσφέρει υποστήριξη για περισσότερα από 700 τραπεζικά ιδρύματα που εκτείνονται στην Ινδία, τη Βόρεια Αμερική, την Ευρώπη και την περιοχή Ασίας-Ειρηνικού.
Το πρόγραμμα δημιουργίας ενσωματώνει τη δημιουργία ωφέλιμου φορτίου, την υποδομή ηλεκτρονικού "ψαρέματος" (phishing), την ανάπτυξη C2 και την εκτέλεση απάτης σε ένα ενιαίο οικοσύστημα. Το σύνολο των χαρακτηριστικών του, σύμφωνα με πληροφορίες, περιλαμβάνει πολυμορφική κρυπτογράφηση, μεταμφίεση διεργασιών και τεχνικές έγχυσης ωφέλιμου φορτίου που έχουν σχεδιαστεί για να αποφεύγουν τον εντοπισμό από τα παραδοσιακά εργαλεία ασφαλείας. Επιπλέον, το κακόβουλο λογισμικό υποστηρίζει πολλαπλά κανάλια επικοινωνίας, συμπεριλαμβανομένων των πρωτοκόλλων HTTPS, DNS-over-HTTPS, Tor και WebSocket.
Η πλατφόρμα περιέχει επίσης λειτουργίες άμεσης ενεργοποίησης απάτης, όπως συλλογή διαπιστευτηρίων, παραβίαση περιόδου σύνδεσης, ένεση ιστού και τεχνικές που αποσκοπούν στην παράκαμψη των προστασιών ελέγχου ταυτότητας δύο παραγόντων. Αυτές οι δυνατότητες μοιάζουν πολύ με εκείνες που σχετίζονται με γνωστές οικογένειες τραπεζικού κακόβουλου λογισμικού, όπως τα Zeus, Dridex και TrickBot, αλλά πλέον είναι συσκευασμένες σε μια μορφή δημιουργίας που είναι πιο εύκολη στην ανάπτυξη.
Τα χαμηλότερα εμπόδια εισόδου αυξάνουν τον κίνδυνο του χρηματοπιστωτικού τομέα
Η εμφάνιση του BankGhost Builder αντικατοπτρίζει τη συνεχιζόμενη βιομηχανοποίηση του κυβερνοεγκλήματος, όπου οι προηγμένες επιθετικές δυνατότητες συσκευάζονται, διατίθενται στην αγορά και διανέμονται σε μεγάλη κλίμακα. Η αρθρωτή αρχιτεκτονική του και η προσαρμόσιμη δημιουργία ωφέλιμου φορτίου μειώνουν την εξάρτηση από στατικούς δείκτες παραβίασης, περιπλέκοντας τις προσπάθειες απόδοσης και ανίχνευσης για τους υπερασπιστές.
Οι αναλυτές ασφαλείας προειδοποιούν ότι η ευρεία διαθεσιμότητα τέτοιων εργαλείων είναι πιθανό να επιταχύνει αρκετές σημαντικές τάσεις απειλών, όπως:
Αυξημένες καμπάνιες κακόβουλου λογισμικού μέσω ηλεκτρονικού "ψαρέματος" (phishing) που στοχεύουν πελάτες και υπαλλήλους τραπεζών
Αυξανόμενα περιστατικά εξαγοράς λογαριασμών (ATO) και πιο εξελιγμένες τοπικές επιχειρήσεις απάτης
Αυτές οι εξελίξεις θα μπορούσαν να επεκτείνουν σημαντικά την επιχειρησιακή εμβέλεια των ομάδων κυβερνοεγκληματικότητας που προηγουμένως δεν διέθεταν την εμπειρογνωμοσύνη για να διεξάγουν ανεξάρτητα προηγμένες τραπεζικές επιθέσεις.
Τα χρηματοπιστωτικά ιδρύματα καλούνται να ενισχύσουν τις αμυντικές τους στρατηγικές
Για τον μετριασμό της αυξανόμενης απειλής που θέτουν οι προηγμένοι κατασκευαστές κακόβουλου λογισμικού στον τραπεζικό τομέα, τα χρηματοπιστωτικά ιδρύματα ενθαρρύνονται να υιοθετήσουν στρατηγικές ασφαλείας που βασίζονται στην ευφυΐα και εστιάζουν στη συμπεριφορά. Τα προτεινόμενα αμυντικά μέτρα περιλαμβάνουν:
- Παρακολούθηση μη φυσιολογικής εκτέλεσης διεργασιών, χειρισμού του πρόχειρου και συμπεριφοράς καταγραφής οθόνης μέσω αναλυτικών στοιχείων συμπεριφοράς
- Εντοπισμός ύποπτων κρυπτογραφημένων μοτίβων κίνησης, συμπεριλαμβανομένων των επικοινωνιών DNS-over-HTTPS και Tor
- Επιβολή αυστηρών ελέγχων ασφαλείας email, όπως sandboxing συνημμένων και περιορισμοί σε τύπους αρχείων υψηλού κινδύνου, συμπεριλαμβανομένων των αρχείων MSI, DLL και EXE.
- Ενίσχυση προγραμμάτων πρόληψης απάτης μέσω λήψης δακτυλικών αποτυπωμάτων συσκευών, ανίχνευσης ανωμαλιών συναλλαγών και προηγμένης παρακολούθησης συμπεριφοράς
Μια προληπτική και πολυεπίπεδη στρατηγική άμυνας παραμένει απαραίτητη, καθώς οι υπόγειες κοινότητες κυβερνοεγκληματιών συνεχίζουν να επιταχύνουν την υιοθέτηση και τη διανομή εξελιγμένων πλατφορμών κακόβουλου λογισμικού, όπως το BankGhost Builder.
