BankGhost Builder

Cercetătorii în domeniul securității cibernetice au descoperit o reclamă bazată pe Telegram care promovează „BankGhost Builder”, o platformă sofisticată de creare de programe malware, concepută pentru a genera troieni bancari cu funcții integrate de comandă și control (C2), phishing și capabilități axate pe fraudă. Se pare că platformă de creare este distribuită prin comunități clandestine Telegram, ceea ce amplifică îngrijorările cu privire la extinderea rapidă a operațiunilor de tip Malware-as-a-Service (MaaS).

Framework-ul malware este comercializat de un colectiv de amenințări conectat la Telegram, cunoscut sub numele de Infrastructure Destruction Squad (IDS), și denumit și Dark Engine. Promovarea sa în cadrul ecosistemelor infracționale cibernetice demonstrează un efort activ de comercializare a dezvoltării avansate de malware și de a face criminalitatea cibernetică financiară mai accesibilă actorilor mai puțin calificați din punct de vedere tehnic.

Echipa de distrugere a infrastructurii își extinde influența subterană

Brigada de Distrugere a Infrastructurii (IDS) a apărut în mod proeminent la sfârșitul anului 2025 și a continuat să se claseze printre cele mai îngrijorătoare amenințări cibernetice pe tot parcursul anului 2026. Spre deosebire de multe grupuri hacker-activiste pro-ruse care se bazează în principal pe atacuri de tip Distributed Denial-of-Service (DDoS) perturbatoare, IDS a atras atenția pentru presupuse intruziuni care implică sisteme de control industrial (ICS) și medii SCADA.

Colectivul a fost, de asemenea, asociat cu activități clandestine care implică promovarea instrumentelor de hacking ofensive și publicarea datelor furate și a scurgerilor de informații despre breșe de securitate. Cu o audiență Telegram care depășește 1.600 de abonați, grupul contribuie la răspândirea accelerată a amenințărilor cibernetice sofisticate prin simplificarea accesului la capabilități avansate de atac.

BankGhost Builder combină implementarea de programe malware și operațiunile de fraudă

BankGhost Builder este promovat ca un cadru complet pentru programe malware bancare, capabil să suporte întregul ciclu de viață al unui atac cibernetic. Conform materialelor promoționale, platforma oferă suport pentru peste 700 de instituții bancare din India, America de Nord, Europa și regiunea Asia-Pacific.

Constructorul integrează generarea de sarcini utile, infrastructura de phishing, implementarea C2 și executarea fraudelor într-un singur ecosistem. Setul său de funcții include, se pare, criptare polimorfică, masquerading de procese și tehnici de injectare a sarcinilor utile concepute pentru a evita detectarea de către instrumentele de securitate tradiționale. În plus, malware-ul acceptă canale multiple de comunicare, inclusiv protocoalele HTTPS, DNS-over-HTTPS, Tor și WebSocket.

Platforma conține, de asemenea, funcții directe de activare a fraudei, cum ar fi recoltarea acreditărilor, deturnarea sesiunilor, injectările web și tehnici menite să ocolească protecțiile de autentificare cu doi factori. Aceste capabilități seamănă foarte mult cu cele asociate cu familii de programe malware bancare bine-cunoscute, inclusiv Zeus, Dridex și TrickBot, dar sunt acum incluse într-un format de builder mai ușor de implementat.

Barierele mai mici la intrare cresc riscul sectorului financiar

Apariția BankGhost Builder reflectă industrializarea continuă a criminalității cibernetice, unde capabilitățile ofensive avansate sunt ambalate, comercializate și distribuite la scară largă. Arhitectura sa modulară și generarea personalizabilă de sarcini utile reduc dependența de indicatorii statici de compromitere, complicând eforturile de atribuire și detectare pentru apărători.

Analiștii în domeniul securității avertizează că disponibilitatea pe scară largă a unor astfel de instrumente va accelera probabil mai multe tendințe majore în materie de amenințări, inclusiv:

Creșterea campaniilor de malware bazate pe phishing care vizează clienții și angajații băncilor
Incidente tot mai frecvente de preluare a controlului de cont (ATO) și operațiuni de fraudă localizate mai sofisticate

Aceste evoluții ar putea extinde semnificativ raza de acțiune operațională a grupurilor infracționale cibernetice care anterior nu aveau expertiza necesară pentru a efectua atacuri bancare avansate în mod independent.

Instituțiile financiare sunt îndemnate să își consolideze strategiile defensive

Pentru a atenua amenințarea tot mai mare reprezentată de dezvoltatorii avansați de programe malware bancare, instituțiile financiare sunt încurajate să adopte strategii de securitate bazate pe informații și axate pe comportament. Măsurile defensive recomandate includ:

• Monitorizarea execuției anormale a proceselor, a manipulării clipboard-ului și a comportamentului capturilor de ecran prin intermediul analizelor comportamentale
• Detectarea modelelor de trafic criptat suspecte, inclusiv a comunicațiilor DNS-over-HTTPS și Tor
• Aplicarea unor controale stricte de securitate pentru e-mail, cum ar fi sandboxing-ul atașamentelor și restricții privind tipurile de fișiere cu risc ridicat, inclusiv fișiere MSI, DLL și EXE
• Îmbunătățirea programelor de prevenire a fraudelor prin amprentarea dispozitivelor, detectarea anomaliilor tranzacțiilor și monitorizarea avansată a comportamentului

O strategie de apărare proactivă și stratificată rămâne esențială, deoarece comunitățile clandestine de infractori cibernetici continuă să accelereze adoptarea și distribuirea platformelor malware sofisticate, cum ar fi BankGhost Builder.