BankGhost Builder
Исследователи в области кибербезопасности обнаружили рекламу в Telegram, продвигающую «BankGhost Builder» — сложную платформу для создания вредоносных программ, предназначенную для генерации банковских троянов со встроенными системами управления и контроля (C2), механизмами фишинговой рассылки и возможностями, ориентированными на мошенничество. Сообщается, что конструктор распространяется через подпольные сообщества в Telegram, что усиливает опасения по поводу быстрого расширения операций в сфере «вредоносного ПО как услуги» (MaaS).
Вредоносная программа распространяется связанной с Telegram группой киберпреступников, известной как Infrastructure Destruction Squad (IDS), также отслеживаемой под названием Dark Engine. Ее продвижение в киберпреступных экосистемах демонстрирует активные усилия по коммерциализации разработки сложных вредоносных программ и повышению доступности финансовых киберпреступлений для менее технически подкованных злоумышленников.
Оглавление
Отряд по уничтожению инфраструктуры расширяет свое влияние в подполье.
Группа «Отряд разрушения инфраструктуры» (IDS) получила широкую известность в конце 2025 года и продолжает оставаться одной из наиболее опасных киберугроз на протяжении всего 2026 года. В отличие от многих пророссийских хактивистских групп, которые в основном полагаются на деструктивные распределенные атаки типа «отказ в обслуживании» (DDoS), IDS привлекла внимание предполагаемыми вторжениями в системы промышленного управления (ICS) и SCADA-системы.
Эта группа также связана с подпольной деятельностью, включающей продвижение инструментов для хакерских атак и публикацию украденных данных и утечек информации. Имея аудиторию в Telegram, превышающую 1600 подписчиков, группа способствует ускоренному распространению сложных киберугроз, упрощая доступ к продвинутым средствам атаки.
BankGhost Builder объединяет развертывание вредоносного ПО и операции по борьбе с мошенничеством.
BankGhost Builder позиционируется как комплексная платформа для защиты от банковских вредоносных программ, способная поддерживать весь жизненный цикл кибератаки. Согласно рекламным материалам, платформа поддерживает более 700 банковских учреждений в Индии, Северной Америке, Европе и Азиатско-Тихоокеанском регионе.
Этот конструктор объединяет генерацию полезной нагрузки, инфраструктуру фишинга, развертывание C2-сервера и выполнение мошеннических действий в единую экосистему. Сообщается, что его набор функций включает полиморфное шифрование, маскировку процессов и методы внедрения полезной нагрузки, разработанные для обхода обнаружения традиционными средствами безопасности. Кроме того, вредоносное ПО поддерживает несколько каналов связи, включая протоколы HTTPS, DNS-over-HTTPS, Tor и WebSocket.
Платформа также содержит функции, непосредственно способствующие мошенничеству, такие как сбор учетных данных, перехват сессий, веб-инъекции и методы, предназначенные для обхода двухфакторной аутентификации. Эти возможности очень похожи на те, что используются в известных семействах банковских вредоносных программ, включая Zeus, Dridex и TrickBot, но теперь они представлены в более удобном для развертывания формате конструктора.
Снижение барьеров для входа на рынок увеличивает риски в финансовом секторе.
Появление BankGhost Builder отражает продолжающуюся индустриализацию киберпреступности, где передовые наступательные возможности упаковываются, продаются и распространяются в больших масштабах. Его модульная архитектура и настраиваемая генерация полезной нагрузки снижают зависимость от статических индикаторов компрометации, что усложняет для защитников усилия по установлению авторства и обнаружению угроз.
Аналитики в области безопасности предупреждают, что широкое распространение подобных инструментов, вероятно, ускорит развитие ряда основных тенденций в сфере угроз, в том числе:
Участились фишинговые кампании с использованием вредоносного ПО, направленные на клиентов и сотрудников банков.
Рост числа случаев захвата учетных записей и более изощренные локализованные мошеннические операции.
Эти изменения могут значительно расширить оперативные возможности киберпреступных групп, которые ранее не обладали достаточной квалификацией для самостоятельного проведения сложных банковских атак.
Финансовым учреждениям настоятельно рекомендуется усилить оборонительные стратегии.
Для смягчения растущей угрозы, исходящей от разработчиков сложных банковских вредоносных программ, финансовым учреждениям рекомендуется внедрять стратегии безопасности, основанные на анализе данных и поведении пользователей. Рекомендуемые меры защиты включают:
- Мониторинг аномального выполнения процессов, манипуляций с буфером обмена и захвата экрана с помощью поведенческой аналитики.
- Выявление подозрительных шаблонов зашифрованного трафика, включая DNS-over-HTTPS и соединения Tor.
- Внедрение строгих мер безопасности электронной почты, таких как изоляция вложений и ограничения на типы файлов высокого риска, включая файлы MSI, DLL и EXE.
- Усовершенствование программ предотвращения мошенничества за счет идентификации устройств по отпечаткам пальцев, выявления аномалий транзакций и расширенного поведенческого мониторинга.
Проактивная и многоуровневая стратегия защиты остается крайне важной, поскольку подпольные сообщества киберпреступников продолжают ускорять внедрение и распространение сложных вредоносных программ, таких как BankGhost Builder.
