تتزايد التهديدات الإلكترونية في أمريكا اللاتينية، حيث يستهدف المهاجمون البرازيليون سرقة بيانات الحسابات المصرفية. في هذه المقالة، نستعرض فيروس Casbaneiro وأثره على الأمن المالي.
يستهدف المهاجمون البرازيليون سرقة بيانات الحسابات المصرفية عبر دول أمريكا اللاتينية الناطقة بالإسبانية، باستخدام تقنيات إصابة خفية وقابلة للتكرار.
بينما تُعرف كوريا الشمالية بهجمات واسعة النطاق على العملات المشفرة، وتسيطر إسرائيل على سوق البرمجيات الخبيثة، أصبحت البرازيل معروفة كعاصمة البرمجيات الخبيثة المصرفية في العالم. ينتج القراصنة هناك برمجيات خبيثة تسرق الأموال بمعدل يتحدى قدرة المحللين على تقديم تفسيرات.
تعتبر عملية الجرائم الإلكترونية المعروفة باسم Water Saci، أو Augmented Marauder، في صميم هذه الحركة منذ عدة سنوات. في الأشهر الأخيرة، كانت تقضي وقتها بين حملتين من الهجمات الإلكترونية المدفوعة ماليًا. واحدة منها كانت تُشن عبر واتساب، وتركزت في البرازيل، وتم تتبعها من قبل الباحثين منذ العام الماضي.
وقد حددت BlueVoyant الآن حملة موازية، تشبه إلى حد ما، ولكنها تُنفذ عبر البريد الإلكتروني، وقد تنتشر عبر أمريكا اللاتينية وإسبانيا. يتميز هذا الإصدار الأخير من أساليب Water Saci ببرمجيات خبيثة قابلة للتكرار، وتجاوز أمان البريد الإلكتروني، وسرقة المعلومات المالية.
“يبدو أن هذه المجموعة تهدف إلى إطلاق حملة كل ربع عام، وتستمر في تغييرها، لذا من الواضح أن من يقوم بذلك نشط للغاية وهدفهم النهائي هو الوصول إلى حسابات المستخدمين المصرفية في منطقة أمريكا اللاتينية،” كما يقول توماس إلكينز، محلل الأمن في BlueVoyant. “من الواضح أنهم سيستمرون في التصعيد.”
هجوم مصرفي قابل للتكرار
في الانطباع الأول، يبدو أن هجوم Augmented Marauder عادي إلى حد ما. يتلقى جميع الضحايا نفس الإشعار في صندوق بريدهم حول استدعاء قضائي غامض قادم. الضحايا الذين ينخدعون بهذا الطُعم ينتهي بهم الأمر إلى زيارة موقع حيث يقومون بتنزيل ملف مضغوط ضار. ومع ذلك، وراء كل خطوة في هذه السلسلة من الأحداث، هناك خدعة تساعد الهجوم على التهرب من الاكتشاف أو تساعده بشكل كبير في الانتشار إلى أهداف جديدة.
الملف الضار المرفق برسالة البريد الإلكتروني الاحتيالية محمي بكلمة مرور، مما يمنح الوثيقة مظهرًا من الشرعية ويساعدها على الهروب من التدقيق من بوابات البريد الإلكتروني الآمنة (SEGs). يتم تعيين اسم ملف zip بشكل عشوائي لكل ضحية — وهو عقبة أمام أدوات الكشف المعتمدة على التوقيع.
الأهم من ذلك، هو كيف ينتهي الأمر بالضحايا إلى تلقي ذلك البريد الإلكتروني الخاص بالاستدعاء القضائي في المقام الأول. واحدة من السكربتات المستخدمة لاحقًا في سلسلة الهجوم — أداة تُدعى Horabot — مصممة لاستغلال حساب البريد الإلكتروني للضحية، بهدف التكرار الذاتي. تقوم بجمع جهات الاتصال الخاصة بهم، وتصفيتها، ثم ترسل جولة جديدة من رسائل البريد الإلكتروني الاحتيالية إلى عدد من الأهداف الجديدة، مع نسخة معدلة من ملف الاستدعاء القضائي محمي بكلمة مرور جديدة.
بجانب الانتشار السريع والواسع، يحمل هذا العنصر القابل للتكرار بعض المزايا المميزة الأخرى. أولاً، لأن الأهداف الجديدة تتلقى رسائل البريد الإلكتروني الاحتيالية من جهات اتصال موثوقة، قد يكونون أكثر ميلًا للنقر على تلك المرفقات الضارة. كما يعني ذلك أن تلك الرسائل الإلكترونية أقل عرضة للتنبيه من قبل حلول أمان البريد الإلكتروني.
“وهو أمر ذكي لأنه يجعل من الصعب تحديد مكان بدء الهجوم،” يشير إلكينز. بين رسائل البريد الإلكتروني القابلة للتكرار، ورسائل واتساب القابلة للتكرار في حملتهم المتزامنة في البرازيل، “يجدون طرقًا جديدة لأتمتة سلاسل هجماتهم بحيث لا يعتمدوا فقط على حساب يتحكم فيه المهاجم،” مما يجعل من الصعب تحديد البنية التحتية التي يتحكم فيها المهاجمون بالنسبة لمدافعي الأمن السيبراني.
Trojan المصرفي في البرازيل لا يثير الإعجاب
الهدف من كل هذا هو إسقاط Casbaneiro، وهو Trojan مصرفي كلاسيكي يُفعّل عندما يزور الضحايا مقدمي خدمات العملات المشفرة أو المالية عبر الإنترنت. تغطي قائمة أهدافه بنوكًا رئيسية في أمريكا الوسطى والجنوبية — مثل Santander وBanco do Brasil — بالإضافة إلى منصات الدفع والعملات المشفرة مثل Binance. وفقًا للتقاليد، يستخدم طبقة لتضليل المستخدمين للاعتقاد بأنهم يقومون بتسجيل الدخول إلى موقع شرعي، ويسجل ضغطات المفاتيح لالتقاط بيانات اعتمادهم.
بالنسبة لإلكينز، فإن ظاهرة Trojans المصرفية البرازيلية لغز. “من المثير للاهتمام أنهم لا يزالون متمسكين بـ Trojans المصرفية، لأن الكثير من الوقت يركز هؤلاء المهاجمون الجدد على: كيف نكتسب الوصول إلى شبكة هذا العميل؟ كيف نبدأ في اختراق البيانات؟ كيف يمكننا استخدام برامج الفدية للحصول على أموال؟” يقول.
تعتبر Trojans المصرفية وسيلة أكثر مباشرة لسرقة الأموال باستخدام البرمجيات الخبيثة، ويبدو أنها تعمل في كثير من الأحيان بما يكفي للحفاظ على هذا القطاع من الجرائم الإلكترونية، لكن “لا أعتقد أن معظم Trojans المصرفية تنجح في هذه المرحلة، في بيئة اليوم، لأن من السهل جدًا الهجوم الآن،” كما يقول إلكينز.
مع وجود حماية أمنية سيبرانية حديثة وكفؤة، يقول، “يتم اكتشافها بسهولة أكبر. أعني، يحتوي Windows Defender نفسه على العديد من قواعد الكشف لالتقاط برامج AutoIT [مثل تلك المستخدمة من قبل Water Saci] وإيقاف هذا السلوك. لهذا السبب، غالبًا ما لا نرى ذلك يصل إلى النهاية في بيئة العميل. عادة ما يتم إيقافه في مرحلة البريد الإلكتروني.
مع تطور أساليب الهجوم، من الضروري أن تكون المؤسسات المالية والمستخدمون على دراية بالتهديدات المتزايدة مثل فيروس Casbaneiro. يجب تعزيز الحماية الأمنية لضمان سلامة المعلومات المالية.
