تتزايد هجمات Trojan المصرفية في البرازيل، حيث تستهدف برامج Coyote وMaverick مستخدمي WhatsApp، مما يتسبب في إصابات عديدة.
تسبب العديد من برامج Trojan المصرفية في وقوع ضحايا في البرازيل نتيجة الحملات التهديدية في الأشهر الأخيرة.
نشر باحثون من شركة CyberProof للأمن بحثًا هذا الأسبوع يتضمن تحليلًا لاثنين من سلالات البرمجيات الخبيثة التي استهدفت المواطنين البرازيليين على مدار العام: Coyote وMaverick. غطت CyberProof برنامج Coyote لأول مرة في فبراير، موضحة كيف يستهدف Trojan مستخدمي WhatsApp على أجهزة الكمبيوتر المكتبية ويجمع بياناتهم المصرفية وبيانات العملات المشفرة.
بشكل أكثر تحديدًا، يتناول مدونة البحث كيف وجد باحثو CyberProof أوجه تشابه بين Coyote وبرامج Trojan المصرفية الأخرى التي تم اكتشافها مؤخرًا مثل Maverick (الذي غطته Kaspersky وBlueVoyant) وSorvepotel (الذي غطته Trend Micro)، وحالة منفصلة من دودة WhatsApp التي غطتها Sophos الشهر الماضي.
يقول توني آدامز، الباحث البارز في وحدة مكافحة التهديدات في Sophos، لموقع Dark Reading إن الشركة الأمنية شهدت عدة موجات من النشاط في منطقة أمريكا اللاتينية تستهدف مستخدمي WhatsApp ببرامج Trojan المصرفية.
“عدد الضحايا في هذه الحملات بلغ مئات المنظمات، ومن المرجح أن تواجه الشركات التي تعمل في المنطقة، خاصة عبر WhatsApp، هذه الهجمات عاجلاً أم آجلاً،” كما يقول. “بالنسبة للحملة الأخيرة التي أبلغنا عنها في أكتوبر، استجبنا لنشاط في مراحله المبكرة في أكثر من 400 بيئة عمل عبر أكثر من 1000 نقطة نهاية.”
وفقًا لبيانات Sophos، حدثت تقريبًا جميع الإصابات المحددة في البرازيل. تتبع الباحثون أكثر من 450 حالة، معظمها تتعلق بالمنظمات العامة، ولكنهم شهدوا أيضًا حوادث في مجالات التصنيع والتكنولوجيا والتعليم والبناء.
في جميع الحالات، تستهدف البرمجيات الخبيثة مستخدمي WhatsApp على أجهزة الكمبيوتر المكتبية في البرازيل، وتستولي على الأسرار المالية، وتتكاثر لاستهداف قائمة جهات الاتصال الخاصة بالضحايا المتأثرين. بينما لا تعتبر البرمجيات الخبيثة التي تركز على المال جديدة، ورغم أن الباحثين لاحظوا حملات مشابهة قبل هذا العام، تُظهر أبحاث CyberProof كيف يمكن أن تؤدي الحملات التهديدية المحلية إلى أضرار كبيرة.
Coyotes & Mavericks
منذ تقريرها الأول في فبراير، تعامل باحثو CyberProof مع Coyote وعدد من الإصابات المماثلة، ونتيجة لذلك، لاحظوا عدة أوجه تشابه بينه وبين Maverick الذي تم تغطيته على نطاق واسع. يقول نيرانجان جايناند، رئيس خدمة البحث عن التهديدات المتقدمة في CyberProof، لموقع Dark Reading إن Maverick “يبدو أنه نسخة محدثة من الإصدار الثاني لـ Coyote مقارنةً بالإصدار الأول الذي تم رؤيته في عام 2024.”
بعيدًا عن أوجه التشابه المذكورة، ينتشر كل من Coyote وMaverick عندما يتلقى الضحية المحتمل رسالة (غالبًا من مستخدم مصاب في قائمة جهات الاتصال الخاصة بهم) تحتوي على ملف مضغوط مرفق ورسالة تطلب من الهدف فتح المرفق (وتنفيذ ملف الاختصار LNK المرفق) من جهاز الكمبيوتر المكتبي. عند الفتح، يقوم ملف LNK الخاص بـ Windows بتنفيذ كود PowerShell لبدء هجوم متعدد المراحل.
يتضمن هذا الاتصال بخادم التحكم والسيطرة (C2)، وتنزيل الحمولة عن بُعد، وجمع الأسرار المصرفية وبيانات العملات المشفرة. على الرغم من أن CyberProof حددت بعض الاختلافات بين الاثنين، إلا أن كلا البرمجيتين كُتبتا باستخدام .NET واستخدمت كود روتين مراقبة تطبيقات مصرفية مشابه.
استهدفت الحملات السابقة لـ Maverick المستخدمين المرتبطين بالمؤسسات المصرفية ومنظمات الضيافة، بالإضافة إلى مستخدمي WhatsApp على أجهزة الكمبيوتر المكتبية الذين وقعوا في مخطط التكاثر الذاتي. يبدو أن ضحايا Coyote مشابهون.
توصي CyberProof المنظمات بالاستثمار في تدريب الموظفين (خصوصًا بشأن كيفية اكتشاف محاولات التصيد والطرق الشائعة للهجمات)، وضوابط الوصول، ومنصات متقدمة قادرة على المراقبة في الوقت الحقيقي.
لماذا البرازيل؟
يقول جايناند لموقع Dark Reading إن CyberProof رصدت “عدة آلاف من الإصابات” المرتبطة بهذه الحملات في بياناتها. في بريد إلكتروني، كتب متحدث باسم Trend Micro أن الحملة التي تتبعها الشركة، حدثت تقريبًا جميع الإصابات المحددة في البرازيل، وتتبع الباحثون أكثر من 450 حالة.
أحد الوظائف المثيرة للاهتمام في برنامج Maverick الخبيث الذي أبرزته CyberProof هو أن Trojan يتحقق مما إذا كان المستخدم مقيمًا في البرازيل. إذا لم يكن كذلك، فإنه ينهي نفسه. وهذا ملحوظ لأن البرازيل معروفة جيدًا بأنها مستهدفة من قبل البرمجيات الخبيثة المصرفية، لكن مثل هذه التخصيصات المحلية على هذا المستوى نادرة.
أما بالنسبة لسبب ذلك، يقول جايناند إن Maverick وCoyote يركزان جهودهما. “مع توسع تأثير البرازيل العالمي، ينمو وجودها الرقمي بالتوازي، مما يجذب اهتمامًا متزايدًا من المهاجمين السيبرانيين المحليين والدوليين الذين يسعون لاستغلال بنيتها التحتية الحيوية،” كما يقول.
يقول جون بيكر، نائب رئيس الدفاع المعتمد على التهديدات في AttackIQ، إن الجمع بين البرازيل وWhatsApp يبدو منطقيًا، نظرًا لمدى استخدام سكان البلاد للمنصة.
“نظرًا لأن WhatsApp لديه أكثر من 148 مليون مستخدم في البرازيل، فإنه يمثل منصة رائعة لإطلاق هجمات واسعة النطاق ضد المؤسسات البرازيلية. بالنسبة للمهاجمين المدفوعين ماليًا، يوفر WhatsApp فرصة مثالية لاستهداف المستخدمين، وسرقة بيانات اعتمادهم، والوصول إلى مؤسساتهم المالية،” كما يقول بيكر. “إنها مثال آخر على استمرار المهاجمين في ابتكار تقنياتهم وتحديد فرص جديدة للهجمات واسعة النطاق، وتذكير آخر بأن هناك إمكانية لحدوث خروقات في كل ركن من أركان العالم.”
تجنب الوقوع ضحية لهذه الهجمات من خلال تعزيز الوعي الأمني وتطبيق تدابير الحماية المناسبة.
