GoldPickaxe Banking Trojos arklys
Sumanus grėsmių veikėjas, žinomas kaip GoldFactory, laisvai kalbantis kinų kalba, buvo nustatytas kaip pažangių bankininkystės Trojos arklių kūrėjas. Vienas iš naujausių jų kūrinių yra nedokumentuota iOS kenkėjiška programa GoldPickaxe, galinti rinkti asmens dokumentus ir veido atpažinimo duomenis bei perimti SMS.
Tyrėjai patikrino, kad „GoldPickaxe“ šeima skirta tiek „iOS“, tiek „Android“ platformoms. Manoma, kad „GoldFactory“ elektroninių nusikaltimų grupė yra gerai organizuota ir kalba kiniškai, yra glaudžiai susijusi su Gigabudu.
Bent jau nuo 2023 m. vidurio veikianti „GoldFactory“ yra atsakinga už „Android“ pagrįstos bankininkystės kenkėjiškos programos „GoldDigger“ ir jos patobulinto varianto „GoldDiggerPlus“ kūrimą. Be to, jie sukūrė GoldKefu, GoldDiggerPlus įterptą Trojos arklį.
Turinys
Užpuolikai naudoja įvairius sukčiavimo būdus, kad įdiegtų „GoldPickaxe“.
Buvo nustatytos grėsmingos socialinės inžinerijos kampanijos, platinančios kenkėjiškas programas, daugiausia dėmesio skiriant Azijos ir Ramiojo vandenyno regionui, ypač Tailandui ir Vietnamui. Užpuolikai prisidengia vietiniais bankais ir vyriausybės subjektais.
Šių tikslinių atakų metu asmenys gauna apgaulingus sukčiavimo ir sukčiavimo pranešimus, skatinančius pokalbį perkelti į momentinių pranešimų programas, tokias kaip LINE. Vėliau užpuolikai siunčia apgaulingus URL, todėl aukų įrenginiuose įdiegiama GoldPickaxe.
Tam, kad diegimo procesas būtų sėkmingas, tam tikros nesaugios programos, sukurtos „Android“, yra talpinamos padirbtose svetainėse, imituojančiose „Google Play“ parduotuvės puslapius arba netikras įmonių svetaines.
Nauja taktika, parodyta GoldFactory kibernetinių nusikaltėlių
„GoldPickaxe“ platinimo metodas, skirtas „iOS“, skiriasi, taikant unikalų metodą. Jame naudojama „Apple“ „TestFlight“ platforma ir naudojami „booby-trapped“ URL. Šie URL skatina naudotojus atsisiųsti mobiliųjų įrenginių valdymo (MDM) profilį, suteikiantį visišką iOS įrenginių kontrolę ir palengvinant nesąžiningos programos diegimą. Abi šias platinimo taktikas atskleidė Tailando bankininkystės sektoriaus CERT (TB-CERT) ir Kibernetinių nusikaltimų tyrimo biuras (CCIB) 2023 m. lapkritį.
„GoldPickaxe“ rafinuotumą dar labiau įrodo jos gebėjimas apeiti Tailande nustatytas saugumo priemones. Šios priemonės įpareigoja naudotojus patvirtinti svarbesnes operacijas naudojant veido atpažinimą, kad būtų išvengta sukčiavimo. „GoldPickaxe“ išradingai ragina aukas įrašyti vaizdo įrašą kaip patvirtinimo metodą apgaulingoje programoje. Įrašytas vaizdo įrašas naudojamas kaip žaliava kuriant giliai padirbtus vaizdo įrašus naudojant veido keitimo dirbtinio intelekto paslaugas.
Be to, tiek „Android“, tiek „iOS“ kenkėjiškos programos variantai turi galimybę rinkti aukos asmens tapatybės dokumentus ir nuotraukas, perimti gaunamas SMS žinutes ir nukreipti srautą per pažeistą įrenginį. Kyla įtarimų, kad „GoldFactory“ aktoriai naudoja savo įrenginius, kad prisijungtų prie banko programų ir vykdytų neteisėtus lėšų pervedimus.
Skirtumai tarp iOS ir Android GoldPickaxe versijų
„GoldPickaxe“ iOS versija demonstruoja mažiau funkcijų, palyginti su „Android“ analogu. Šis neatitikimas siejamas su uždaru iOS operacinės sistemos pobūdžiu ir gana griežtais leidimo protokolais.
„Android“ variantas, laikomas evoliuciniu „GoldDiggerPlus“ įpėdiniu, užmaskuoja daugiau nei 20 skirtingų programų, susijusių su Tailando vyriausybe, finansų sektoriumi ir komunalinių paslaugų įmonėmis. Pagrindinis jos tikslas yra pasisavinti prisijungimo duomenis iš šių paslaugų. Tačiau tikslūs grėsmės veikėjų ketinimai su šia surinkta informacija lieka neaiškūs.
Kitas pastebimas kenkėjiškos programos bruožas yra „Android“ pritaikymo neįgaliesiems paslaugų išnaudojimas norint įrašyti klavišų paspaudimus ir užfiksuoti ekrane rodomą turinį.
