BankGhost Builder
Küberturvalisuse uurijad on avastanud Telegrami-põhise reklaami, mis reklaamib „BankGhost Builderit” – keerukat pahavara loomise platvormi, mis on loodud pangatroojade genereerimiseks integreeritud käsu- ja kontrollisüsteemi (C2), andmepüügi edastusmehhanismide ja pettustele suunatud võimalustega. Väidetavalt levitatakse koosturit Telegrami maa-aluste kogukondade kaudu, mis süvendab muret pahavara teenusena (MaaS) tegutsemise kiire laienemise pärast.
Pahavara raamistikku turustab Telegramiga seotud ohurühmitus nimega Infrastructure Destruction Squad (IDS), mida jälgitakse ka nime all Dark Engine. Selle reklaamimine küberkuritegevuse ökosüsteemides näitab aktiivset püüdlust turustada täiustatud pahavara arendust ja muuta finantsküberkuritegevus kättesaadavamaks vähem tehniliselt osavatele isikutele.
Sisukord
Taristu hävitamise meeskond laiendab maa-aluse mõjuvõimu
Infrastruktuuri hävitamise meeskond kerkis esile 2025. aasta lõpus ja on kogu 2026. aasta jooksul jätkuvalt olnud üks kõige murettekitavamaid küberohte. Erinevalt paljudest Venemaa-meelsetest häktivistlikest rühmitustest, mis tuginevad peamiselt häirivatele hajutatud teenusetõkestamise (DDoS) rünnakutele, on IDS pälvinud tähelepanu väidetavate sissetungide tõttu, mis hõlmavad tööstusjuhtimissüsteeme (ICS) ja SCADA-keskkondi.
Kollektiivi on seostatud ka põrandaaluse tegevusega, mis hõlmab solvavate häkkimistööriistade reklaamimist ning varastatud andmete ja turvaintsidentide lekete avaldamist. Telegrami publikuga, millel on üle 1600 tellija, aitab grupp kaasa keerukate küberohtude kiirenenud levikule, lihtsustades juurdepääsu täiustatud rünnakuvõimalustele.
BankGhost Builder ühendab pahavara juurutamise ja pettustevastased operatsioonid
BankGhost Builderit reklaamitakse kui terviklikku panganduspahavara raamistikku, mis suudab toetada kogu küberrünnaku elutsüklit. Reklaammaterjalide kohaselt pakub platvorm tuge enam kui 700 pangaasutusele Indias, Põhja-Ameerikas, Euroopas ja Aasia ja Vaikse ookeani piirkonnas.
See pahavaraarhitektuur integreerib ühte ökosüsteemi kasuliku koormuse genereerimise, andmepüügi infrastruktuuri, C2 juurutamise ja pettuste teostamise. Selle funktsioonide komplekt sisaldab väidetavalt polümorfset krüptimist, protsesside maskeerimist ja kasuliku koormuse süstimise tehnikaid, mis on loodud traditsiooniliste turvatööriistade abil avastamise vältimiseks. Lisaks toetab pahavara mitut suhtluskanalit, sealhulgas HTTPS-i, DNS-over-HTTPS-i, Tori ja WebSocketi protokolle.
Platvorm sisaldab ka otseseid pettuste lubamise funktsioone, nagu volituste kogumine, seansi kaaperdamine, veebisüstid ja tehnikad, mis on mõeldud kahefaktorilise autentimise kaitsest möödahiilimiseks. Need funktsioonid sarnanevad väga tuntud panganduspahavara perekondadega, sealhulgas Zeus, Dridex ja TrickBot, kuid on nüüd pakendatud hõlpsamini juurutatavasse koostaja vormingusse.
Madalamad turule sisenemise tõkked suurendavad finantssektori riski
BankGhost Builderi esiletõus peegeldab küberkuritegevuse jätkuvat industrialiseerimist, kus täiustatud rünnakuvõimekus pakendatakse, turustatakse ja levitatakse ulatuslikult. Selle modulaarne arhitektuur ja kohandatav kasuliku koormuse genereerimine vähendavad sõltuvust staatilistest kompromiteerimise näitajatest, mis raskendab kaitsjate jaoks omistamis- ja avastamispüüdlusi.
Turvaanalüütikud hoiatavad, et selliste tööriistade laialdane kättesaadavus kiirendab tõenäoliselt mitmeid olulisi ohutrende, sealhulgas:
Pangandusklientidele ja -töötajatele suunatud andmepüügil põhinevate pahavarakampaaniate sagenemine
Kontode ülevõtmise (ATO) juhtumite sagenemine ja keerukamad lokaliseeritud pettuseoperatsioonid
Need arengud võivad oluliselt laiendada küberkurjategijate rühmituste operatiivset ulatust, kellel varem puudusid oskused iseseisvalt keerukate pangarünnakute läbiviimiseks.
Finantsasutusi kutsutakse üles tugevdama kaitsestrateegiaid
Pangandussektoris täiustatud pahavara tekitajate kasvava ohu leevendamiseks julgustatakse finantsasutusi võtma kasutusele luurepõhiseid ja käitumispõhiseid turvastrateegiaid. Soovitatavad kaitsemeetmed hõlmavad järgmist:
- Ebanormaalse protsessi täitmise, lõikelaua manipuleerimise ja ekraanipiltide käitumise jälgimine käitumusanalüüsi abil
- Kahtlaste krüptitud liiklusmustrite tuvastamine, sealhulgas DNS-üle-HTTPS ja Tor-side
- Rangete e-posti turvameetmete, näiteks manuste liivakastiefekti ja kõrge riskiga failitüüpide (sh MSI-, DLL- ja EXE-failide) piiramise rakendamine
- Pettuste ennetamise programmide täiustamine seadme sõrmejälgede võtmise, tehinguanomaaliate tuvastamise ja täiustatud käitumise jälgimise abil
Ennetav ja mitmekihiline kaitsestrateegia on endiselt oluline, kuna küberkurjategijate kogukonnad kiirendavad jätkuvalt keerukate pahavaraplatvormide, näiteks BankGhost Builderi, kasutuselevõttu ja levitamist.
