בונה BankGhost
חוקרי אבטחת סייבר חשפו פרסומת מבוססת טלגרם המקדמת את 'BankGhost Builder', פלטפורמה מתוחכמת ליצירת תוכנות זדוניות שנועדה לייצר טרויאנים בנקאיים עם יכולות משולבות של פיקוד ובקרה (C2), מנגנוני העברת פישינג ויכולות ממוקדות הונאה. על פי הדיווחים, בונה התוכנות מופץ דרך קהילות טלגרם תת-קרקעיות, דבר המחזק את החששות לגבי ההתרחבות המהירה של פעילות תוכנות זדוניות כשירות (MaaS).
מסגרת התוכנה הזדונית משווקת על ידי קולקטיב איומים המקושר לטלגרם בשם Infrastructure Destruction Squad (IDS), המנוהל גם בשם Dark Engine. קידומו בתוך מערכות אקולוגיות של פושעי סייבר מדגים מאמץ פעיל למסחר פיתוח תוכנות זדוניות מתקדמות ולהפוך פשעי סייבר פיננסיים לנגישים יותר לשחקנים פחות מיומנים מבחינה טכנית.
תוכן העניינים
יחידת הרס התשתיות מרחיבה את השפעתה התת-קרקעית
יחידת הרס התשתיות צצה באופן בולט בסוף 2025 והמשיכה לדרג בין איומי הסייבר המדאיגים ביותר לאורך 2026. בניגוד לקבוצות האקרים פרו-רוסיות רבות המסתמכות בעיקר על התקפות מניעת שירות מבוזרות (DDoS), יחידת הרס התשתיות (IDS) זכתה לתשומת לב בשל חדירות לכאורה הכוללות סביבות מערכות בקרה תעשייתיות (ICS) ו-SCADA.
הקולקטיב נקשר גם לפעילויות מחתרתיות הכוללות קידום כלי פריצה פוגעניים ופרסום נתונים גנובים ודליפות של פרצות. עם קהל טלגרם העולה על 1,600 מנויים, הקבוצה תורמת להתפשטות מואצת של איומי סייבר מתוחכמים על ידי פישוט הגישה ליכולות תקיפה מתקדמות.
BankGhost Builder משלב פריסת תוכנות זדוניות ופעולות הונאה
BankGhost Builder מפורסם כמסגרת מקיפה של תוכנות זדוניות בנקאיות המסוגלת לתמוך בכל מחזור החיים של מתקפות סייבר. על פי חומרי קידום מכירות, הפלטפורמה מציעה תמיכה ביותר מ-700 מוסדות בנקאיים בהודו, צפון אמריקה, אירופה ואזור אסיה-פסיפיק.
בונה התוכנה משלב יצירת מטענים, תשתית פישינג, פריסת C2 וביצוע הונאות במערכת אקולוגית אחת. על פי הדיווחים, מערך התכונות שלו כולל הצפנה פולימורפית, הסחת תהליכים וטכניקות הזרקת מטענים שנועדו להתחמק מגילוי על ידי כלי אבטחה מסורתיים. בנוסף, הנוזקה תומכת בערוצי תקשורת מרובים, כולל פרוטוקולי HTTPS, DNS-over-HTTPS, Tor ו-WebSocket.
הפלטפורמה מכילה גם פונקציות ישירות להפעלה של הונאות כגון קצירת אישורים, חטיפת סשנים, הזרקות אינטרנט וטכניקות שנועדו לעקוף הגנות אימות דו-שלבי. יכולות אלו דומות מאוד לאלו המקושרות למשפחות נוזקות בנקאיות ידועות, כולל Zeus, Dridex ו-TrickBot, אך כעת ארוזות בפורמט בונה קל יותר לפריסה.
חסמי כניסה נמוכים יותר מגדילים את הסיכון במגזר הפיננסי
הופעתו של BankGhost Builder משקפת את התיעוש המתמשך של פשעי הסייבר, שבו יכולות התקפיות מתקדמות נארזות, משווקות ומופצות בקנה מידה גדול. הארכיטקטורה המודולרית שלו ויצירת המטען הניתנת להתאמה אישית מפחיתים את התלות באינדיקטורים סטטיים של פגיעה, ומסבכים את מאמצי הייחוס והגילוי עבור המגנים.
אנליסטים ביטחוניים מזהירים כי הזמינות הנרחבת של כלים כאלה צפויה להאיץ מספר מגמות איומים מרכזיות, ביניהן:
עלייה בקמפיינים של תוכנות זדוניות המונעות על ידי פישינג, המכוונים ללקוחות ועובדי בנקים
עלייה במספר מקרי השתלטות על חשבונות (ATO) ופעולות הונאה מקומיות מתוחכמות יותר
התפתחויות אלו עשויות להרחיב משמעותית את טווח הפעולה של קבוצות פושעי סייבר, אשר בעבר חסרו להן את המומחיות לבצע מתקפות בנקאיות מתקדמות באופן עצמאי.
מוסדות פיננסיים נדרשים לחזק את אסטרטגיות ההגנה שלהם
כדי למתן את האיום הגובר שמציב מפתחי תוכנות זדוניות מתקדמות בבנקאות, מוסדות פיננסיים מוזמנים לאמץ אסטרטגיות אבטחה המבוססות על מודיעין והתנהגות. אמצעי הגנה מומלצים כוללים:
- ניטור ביצוע תהליכים חריגים, מניפולציה של לוח כתיבה והתנהגות לכידת מסך באמצעות ניתוח התנהגותי
- זיהוי דפוסי תעבורה מוצפנים חשודים, כולל תקשורת DNS-over-HTTPS ו-Tor
- אכיפת בקרות אבטחה מחמירות בדוא"ל כגון ארגז חול של קבצים מצורפים והגבלות על סוגי קבצים בסיכון גבוה, כולל קבצי MSI, DLL ו-EXE.
- שיפור תוכניות למניעת הונאות באמצעות טביעות אצבע של מכשירים, זיהוי אנומליות בעסקאות וניטור התנהגותי מתקדם
אסטרטגיית הגנה פרואקטיבית ורב-שכבתית נותרה חיונית, שכן קהילות פושעי סייבר תת-קרקעיות ממשיכות להאיץ את האימוץ וההפצה של פלטפורמות תוכנות זדוניות מתוחכמות כמו BankGhost Builder.
