הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית לנייד תוכנה זדונית לנייד של Rocinante

תוכנה זדונית לנייד של Rocinante

עד Mezo ב-תוכנה זדונית לנייד, טרויאני בנקאי
לתרגם ל:
עברית

מסע פרסום חדש של תוכנות זדוניות ממקד למשתמשים ניידים בברזיל, תוך פריסת טרויאני בנקאי אנדרואיד בשם Rocinante. תוכנה זדונית זו יכולה לרשום הקשות על ידי ניצול שירות הנגישות ולאסוף מידע אישי מזהה (PII) מקורבנות באמצעות מסכי דיוג המחקים בנקים שונים. בנוסף, הוא משתמש בנתונים הגנובים כדי להשתלט על המכשיר, תוך שימוש בהרשאות שירות הנגישות כדי לקבל גישה מרחוק מלאה למכשיר הנגוע.

התחזות ליישומים לגיטימיים

התוכנה הזדונית מכוונת למספר מוסדות פיננסיים בולטים, כולל Itaú Shop ו-Santander, עם יישומים מזויפים המתחזות ל-Bradesco Prime ו-Correios Cellular, בין היתר:

  • Livelo Pontos (com.resgatelivelo.cash)
  • Correios Recarga (com.correiosrecarga.android)
  • Bratesco Prine (com.resgatelivelo.cash)
  • Módulo de Segurança (com.viberotion1414.app)

ניתוח של קוד המקור של התוכנה הזדונית מגלה שהמפעילים מתייחסים באופן פנימי ל-Rocinante בתור Pegasus או PegasusSpy. עם זאת, יש צורך להבהיר שלפגסוס הזה אין קשר לתוכנת הריגול חוצת הפלטפורמות שפותחה על ידי ספקית המעקב המסחרית NSO Group.

חיבורים למשפחות תוכנות זדוניות אחרות

פגסוס מיוחסת לשחקן איום המכונה DukeEugene, שפיתח גם זני תוכנות זדוניות דומות כמו ERMAC , BlackRock , Hook ושלל, לפי ניתוח שנערך לאחרונה על ידי Silent Push.

חוקרים גילו שרוצ'יננטה כוללת אלמנטים שהושפעו מגרסאות קודמות של ERMAC. ייתכן שהדליפה של קוד המקור של ERMAC ב-2023 תרמה להתפתחות זו. זהו המקרה הראשון שבו נראה שמשפחת תוכנות זדוניות מקוריות שילבה חלקים מהקוד שדלף בעצמה. ייתכן גם ש-Rocinante ו-ERMAC מייצגות סניפים נפרדים של אותו פרויקט ראשוני.

הטרויאני של Rocinante Banking מכוון לנתונים רגישים

Rocinante מופץ בעיקר דרך אתרי פישינג שנועדו להונות משתמשים להתקין יישומי טפטפת מזויפים. לאחר ההתקנה, יישומים אלה מבקשים הרשאות שירות נגישות כדי לנטר את כל הפעילויות במכשיר הנגוע, ליירט הודעות SMS ולהציג דפי התחברות להתחזות.

התוכנה הזדונית גם מתחברת לשרת Command-and-Control (C2) כדי לקבל הוראות מרחוק, כולל הדמיית אירועי מגע והחלקה. מידע אישי שנאסף נשלח לבוט של טלגרם, שמחלץ נתונים שימושיים שהושגו דרך דפי הכניסה המזויפים המתחזות לבנקי יעד. לאחר מכן, מידע זה מעוצב ומשותף בצ'אט הנגיש לפושעים.

הפרטים משתנים בהתאם לדף הכניסה המזויף בו נעשה שימוש וכוללים מידע על מכשיר כגון דגם ומספר טלפון, מספר CPF, סיסמה או מספר חשבון.

שחקני איום מנצלים וקטורים דומים של זיהום

הפיתוח של Rocinante Banking Trojan עולה בקנה אחד עם חוקרי אבטחת סייבר שחשפו מסע פרסום חדש של תוכנות זדוניות טרויאניות בנקאי המכוון לאזורים דוברי ספרדית ופורטוגזית על ידי ניצול הדומיין secureserver.net.

המתקפה הרב-פאזית מתחילה בכתובות URL מאיימות שמפנות משתמשים לארכיון המכיל קובץ .hta מעורפל. קובץ זה מפעיל מטען JavaScript שמבצע בדיקות AntiVM ו-AntiAV שונים לפני הורדת מטען ה-AutoIT הסופי. לאחר מכן, מטען ה-AutoIT מבוצע באמצעות הזרקת תהליכים, במטרה לאסוף מידע בנקאי ואישורים מהמערכת של הקורבן ולחלץ את הנתונים לשרת פיקוד ושליטה (C2).

מגמות

רדיו אינטרנט

תוכניות שעלולות להיות לא רצויות, תוכנות פרסום, חוטפי דפדפן
בעולם יותר ויותר מחובר, אבטחת המכשירים שלך קריטית מאי פעם. איומי סייבר מתפתחים, ותוכניות פוטנציאליות לא רצויות (PUPs) מייצגות קטגוריה מטעה במיוחד של תוכנות שעלולות לערער את הפרטיות והאבטחה שלך....

הכי נצפה

הונאת דוא"ל 'Gek Squad'

פישינג, ספאם
37,897
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...