BankGhost Builder
Дослідники з кібербезпеки виявили рекламу на базі Telegram, яка просуває «BankGhost Builder» – складну платформу для створення шкідливих програм, розроблену для генерації банківських троянів з інтегрованими механізмами командування та контролю (C2), фішинговими механізмами доставки та можливостями боротьби з шахрайством. Повідомляється, що конструктор поширюється через підпільні спільноти Telegram, що посилює занепокоєння щодо швидкого розширення операцій «шкідливого програмного забезпечення як послуги» (MaaS).
Цей фреймворк шкідливого програмного забезпечення просувається пов'язаним з Telegram колективом загроз, відомим як Infrastructure Destruction Squad (IDS), також відстежуваним як Dark Engine. Його просування в екосистемах кіберзлочинців демонструє активні зусилля щодо комерціалізації розробки передових шкідливих програм та підвищення доступності фінансової кіберзлочинності для менш технічно кваліфікованих суб'єктів.
Зміст
Загін зі знищення інфраструктури розширює підпільний вплив
Загін зі знищення інфраструктури (Infrastructure Destruction Squad) з'явився наприкінці 2025 року та продовжував вважатися одним із найбільш тривожних кіберзагроз протягом 2026 року. На відміну від багатьох проросійських хактивістських груп, які в основному покладаються на руйнівні розподілені атаки типу «відмова в обслуговуванні» (DDoS), IDS привернула увагу через ймовірні вторгнення, пов'язані з промисловими системами керування (ICS) та середовищами SCADA.
Колектив також пов'язують з підпільною діяльністю, пов'язаною з просуванням наступальних хакерських інструментів та публікацією викрадених даних і витоків інформації про порушення. Маючи аудиторію Telegram, що перевищує 1600 підписників, група сприяє прискореному поширенню складних кіберзагроз, спрощуючи доступ до передових можливостей атак.
BankGhost Builder поєднує розгортання шкідливого програмного забезпечення та операції з шахрайством
BankGhost Builder рекламується як комплексна платформа для боротьби зі шкідливим програмним забезпеченням для банків, здатна підтримувати весь життєвий цикл кібератак. Згідно з рекламними матеріалами, платформа пропонує підтримку для понад 700 банківських установ в Індії, Північній Америці, Європі та Азіатсько-Тихоокеанському регіоні.
Конструктор інтегрує генерацію корисного навантаження, фішингову інфраструктуру, розгортання C2 та виконання шахрайських дій в єдину екосистему. Його набір функцій, як повідомляється, включає поліморфне шифрування, маскування процесів та методи введення корисного навантаження, розроблені для уникнення виявлення традиційними інструментами безпеки. Крім того, шкідливе програмне забезпечення підтримує кілька каналів зв'язку, включаючи протоколи HTTPS, DNS-over-HTTPS, Tor та WebSocket.
Платформа також містить функції прямого забезпечення можливості шахрайства, такі як збір облікових даних, захоплення сеансів, веб-ін'єкції та методи, призначені для обходу захисту двофакторної автентифікації. Ці можливості дуже нагадують ті, що пов'язані з відомими сімействами банківських шкідливих програм, включаючи Zeus, Dridex та TrickBot, але тепер упаковані в простіший у розгортанні формат конструктора.
Нижчі бар'єри для входу збільшують ризик фінансового сектору
Поява BankGhost Builder відображає продовження індустріалізації кіберзлочинності, де передові наступальні можливості упаковуються, продаються та розповсюджуються у великих масштабах. Його модульна архітектура та налаштовуване генерування корисного навантаження зменшують залежність від статичних індикаторів компрометації, ускладнюючи зусилля захисників щодо атрибуції та виявлення.
Аналітики з безпеки попереджають, що широка доступність таких інструментів, ймовірно, прискорить кілька основних тенденцій загроз, зокрема:
Збільшення кількості фішингових кампаній зі шкідливим програмним забезпеченням, спрямованих на клієнтів та співробітників банків
Зростання кількості випадків захоплення облікових записів (ATO) та більш складні локальні шахрайські операції
Ці розробки можуть значно розширити оперативний охоплення кіберзлочинних груп, яким раніше бракувало досвіду для самостійного проведення передових банківських атак.
Фінансові установи закликають посилити захисні стратегії
Щоб пом’якшити зростаючу загрозу, яку створюють передові розробники банківських шкідливих програм, фінансовим установам рекомендується застосовувати стратегії безпеки, засновані на аналітиці та поведінці. Рекомендовані захисні заходи включають:
- Моніторинг аномального виконання процесів, маніпуляцій з буфером обміну та поведінки під час захоплення екрана за допомогою поведінкової аналітики
- Виявлення підозрілих шаблонів зашифрованого трафіку, включаючи зв'язок DNS-over-HTTPS та Tor
- Застосування суворих заходів контролю безпеки електронної пошти, таких як ізоляція вкладень та обмеження на типи файлів високого ризику, включаючи файли MSI, DLL та EXE
- Удосконалення програм запобігання шахрайству за допомогою зчитування відбитків пальців пристроїв, виявлення аномалій транзакцій та розширеного моніторингу поведінки
Проактивна та багаторівнева стратегія захисту залишається важливою, оскільки підпільні кіберзлочинні спільноти продовжують прискорювати впровадження та розповсюдження складних платформ шкідливого програмного забезпечення, таких як BankGhost Builder.
