الجريمة الإلكترونية المالية في أمريكا اللاتينية والكاريبي

يكتشف باحثو ESET بشكل مفاجئ العديد من مؤشرات التعاون الوثيق بين مؤلفي أحصنة طروادة المصرفية في أمريكا اللاتينية

نشرت ESET ورقة بيضاء توضح بالتفصيل النتائج التي توصلت إليها حول الترابط بين عائلات طروادة المصرفية في أمريكا اللاتينية. الورقة البيضاء كانت ايضا نشرته نشرة الفيروسات.

لفترة طويلة ، كان يُنظر إلى أحصنة طروادة المصرفية في أمريكا اللاتينية على أنها مجموعة واحدة من البرامج الضارة. اكتشف باحثو ESET أن الأمر ليس كذلك ، وأنه على الرغم من وجود الكثير من القواسم المشتركة ، يمكن التعرف على العديد من عائلات البرامج الضارة المتميزة بين هذه البرامج المصرفية في أحصنة طروادة. على مدار العام الماضي ، كنا ننشر سلسلة منشورات مدونة مستمرة حول عائلات البرامج الضارة لأحصنة طروادة المصرفية في أمريكا اللاتينية. تركز هذه المدونات بشكل أساسي على الجوانب الأكثر أهمية وإثارة للاهتمام لهذه العائلات. حتى الآن ، قمنا بكشف القناع فافالس، كاسبانييرو، ميسبادو، جيلدما، جراندوريرو و ميكوتيو في هذه السلسلة. في القطع القادمة ، سنواصل مع Krachulka و Lokorrito و Numando و Vadokrist و Zumanek.

في هذا المستند التعريفي التمهيدي ، ننظر إلى هذه العائلات من منظور أعلى مستوى – بدلاً من فحص تفاصيل كل عائلة وإبراز خصائصها الفريدة ، نركز على الأشياء المشتركة بينها. إذا كنت تتابع سلسلتنا ، فربما لاحظت بعض أوجه التشابه بين عائلات متعددة في سلسلتنا ، مثل استخدام نفس الخوارزمية غير الشائعة لتشفير السلاسل أو DGAs المتشابهة بشكل مثير للريبة للحصول على عناوين خادم C&C.

أول أوجه التشابه التي رصدناها كانت في التنفيذ الفعلي لأحصنة طروادة المصرفية. أكثرها وضوحًا هو التنفيذ المتماثل عمليًا لنواة طروادة المصرفية – إرسال إخطار إلى المشغل ، والمسح الدوري للنوافذ النشطة بناءً على الاسم أو العنوان ، والهجوم عبر النوافذ المنبثقة الزائفة المصممة بعناية في محاولة لاستدراج المعلومات الحساسة من الضحايا. بالإضافة إلى ذلك ، تشترك عائلات البرامج الضارة هذه في مكتبات جهات خارجية غير شائعة ، وخوارزميات تشفير السلسلة ، وتقنيات التشويش الثنائية والتشويش.

ومع ذلك ، فإن أوجه التشابه لا تنتهي عند هذا الحد. عند تحليل سلاسل التوزيع لعائلات البرامج الضارة هذه ، أدركنا أنها تشترك في نفس المنطق الأساسي أيضًا – فهم عادةً يبحثون عن علامة (كائن ، مثل ملف أو قيمة مفتاح التسجيل المستخدمة للإشارة إلى أن الجهاز قد تم اختراقه بالفعل) ، وتنزيل البيانات في أرشيفات ZIP. إلى جانب ذلك ، لاحظنا سلاسل توزيع متطابقة تنتهي بتوزيع العديد من أحصنة طروادة المصرفية في أمريكا اللاتينية. ومن الجدير بالذكر أيضًا أنه منذ عام 2019 ، بدأت الغالبية العظمى من عائلات البرامج الضارة هذه في استخدام Windows Installer (ملفات MSI) كمرحلة أولى في سلسلة التوزيع.

تشترك أحصنة طروادة المصرفية في أمريكا اللاتينية في طرق التنفيذ أيضًا. إنهم يميلون إلى إحضار أدواتهم الخاصة المجمعة في أرشيفات ZIP المذكورة أعلاه. الطريقتان الأكثر شيوعًا هما التحميل الجانبي لـ DLL وإساءة استخدام مترجم AutoIt شرعي. بالإضافة إلى ذلك ، عند استخدام الطريقة السابقة ، فإن العديد من العائلات تسيء استخدام نفس التطبيقات الضعيفة لهذا الغرض (ما يسمى ب أحضر البرامج الضعيفة الخاصة بك).

يأتي مصطلح “حصان طروادة المصرفية في أمريكا اللاتينية” من المنطقة التي تستهدفها عادةً أحصنة طروادة المصرفية – أمريكا اللاتينية. ومع ذلك ، منذ أواخر عام 2019 ، نرى العديد منهم يضيفون إسبانيا والبرتغال إلى قائمة البلدان التي يستهدفونها. علاوة على ذلك ، تستخدم العائلات المختلفة قوالب بريد إلكتروني عشوائية مماثلة في حملاتهم الأخيرة ، كما لو كانت هذه خطوة منسقة أيضًا.

نظرًا للعديد من أوجه التشابه ، يمكن للمرء أن يتوقع مشاركة النوافذ المنبثقة المزيفة التي تستخدمها أحصنة طروادة المصرفية أيضًا. في الواقع ، يبدو أن العكس هو الصحيح. على الرغم من أن النوافذ تبدو متشابهة (نظرًا لأنها مصممة لخداع العملاء من نفس المؤسسات المالية) ، لم نرصد العديد من العائلات التي تستخدم مطابق شبابيك.

نظرًا لأننا لا نعتقد أنه من الممكن أن يتوصل مؤلفو البرامج الضارة المستقلون إلى الكثير من الأفكار الشائعة ولا نعتقد أيضًا أن مجموعة واحدة مسؤولة عن الحفاظ على جميع عائلات البرامج الضارة هذه ، فإننا نستنتج أن هذه جهات تهديدات متعددة تتعاون بشكل وثيق مع بعض. يمكنك العثور على معلومات مفصلة حول أوجه التشابه التي قدمناها بإيجاز هنا ، في المستند التقني.

تقنيات MITER ATT & CK

في الجدول أدناه ، والذي يمثل مجموعًا من الأساليب المستندة إلى جدول MITER ATT & CK القياسي ، نوضح العديد من الميزات التي تشترك فيها أحصنة طروادة المصرفية في أمريكا اللاتينية. إنها ليست قائمة شاملة ، بل قائمة تركز على أوجه التشابه. يظهر بشكل أساسي أن:

التصيد الاحتيالي هو ناقل الهجوم الأكثر شيوعًا
يعتمدون بشكل كبير على لغات البرمجة النصية ، وخاصة VBScript
يعد مفتاح تشغيل السجل أو مجلد بدء التشغيل أكثر طرق الثبات شيوعًا
كلهم يشوهون إما الحمولات أو بيانات التكوين بطريقة ما
إنهم يفضلون بشدة التحميل الجانبي لـ DLL
لسرقة بيانات الاعتماد ، فإنهم يميلون إلى استخدام النوافذ المنبثقة الزائفة أو برامج تسجيل المفاتيح
يكرسون جهدًا كبيرًا لجمع لقطات الشاشة والمسح الضوئي لبرامج الأمان
تُفضل خوارزميات التشفير المخصصة على الخوارزميات المعمول بها
لا يقومون بسحب جميع البيانات التي تم حصادها إلى خادم القيادة والتحكم ، لكنهم يستخدمون مواقع مختلفة أيضًا

ملاحظة: تم إنشاء هذا الجدول باستخدام الإصدار 7 من إطار MITER ATT & CK.

تكتيك	هوية شخصية	اسم	فافالس	كاسبانييرو	جراندوريرو	جيلدما	كراتشولكا	لوكوريتو	ميكوتيو	ميسبادو	نوماندو	فادوكريست	زومانيك
الوصول الأولي	T1566.001	التصيد الاحتيالي: مرفق Spearphishing	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅
الوصول الأولي	T1566.002	التصيد الاحتيالي: ارتباط Spearphishing	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅
إعدام	T1059.005	مترجم الأوامر والبرمجة: Visual Basic	✅	✅	✅	❌	✅	✅	✅	✅	✅	✅	✅
	T1059.007	مترجم الأوامر والبرمجة: JavaScript / JScript	✅	✅	❌	✅	❌	❌	✅	✅	❌	✅	✅
	T1059.003	مترجم الأوامر والبرمجة: Windows Command Shell	❌	✅	✅	❌	✅	❌	✅	✅	❌	✅	❌
	T1059.001	مترجم الأوامر والبرمجة: بوويرشيل	✅	✅	❌	❌	❌	❌	✅	✅	❌	✅	❌
	T1047	نوافذ إدارة الأجهزة	✅	❌	❌	✅	❌	❌	✅	✅	✅	❌	❌
	T1059	القيادة والبرمجة مترجم	❌	✅	❌	❌	✅	❌	✅	❌	❌	✅	❌
إصرار	T1547.001	التمهيد أو تنفيذ تسجيل الدخول التلقائي: مفاتيح تشغيل التسجيل / مجلد بدء التشغيل	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅
إصرار	T1053.005	المهمة / الوظيفة المجدولة: المهمة المجدولة	✅	✅	❌	❌	❌	❌	❌	❌	❌	❌	❌
التهرب الدفاعي	T1140	فك تشفير / فك تشفير الملفات أو المعلومات	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅
	T1574.002	تدفق تنفيذ الاختطاف: تحميل جانبي لـ DLL	✅	✅	❌	✅	✅	✅	✅	❌	✅	✅	✅
	T1497.001	المحاكاة الافتراضية / تجنب وضع الحماية: فحوصات النظام	✅	✅	✅	✅	✅	✅	✅	✅	❌	❌	❌
	T1218.007	تنفيذ الوكيل الثنائي الموقع: Msiexec	✅	✅	❌	❌	❌	❌	✅	✅	✅	✅	✅
	T1036.005	التنكر: تطابق الاسم الشرعي أو الموقع	❌	✅	✅	✅	❌	❌	❌	✅	❌	❌	✅
	T1197	وظائف BITS	❌	✅	❌	✅	✅	❌	✅	❌	❌	❌	❌
	T1112	تعديل التسجيل	✅	✅	✅	✅	❌	❌	❌	❌	❌	❌	❌
	T1218.011	تنفيذ الوكيل الثنائي الموقع: Rundll32	❌	✅	❌	✅	❌	❌	❌	✅	❌	❌	✅
	T1027.001	ملفات أو معلومات مبهمة: حشو ثنائي	❌	✅	✅	❌	❌	❌	✅	❌	❌	❌	❌
	T1220	XSL Script Processing	✅	❌	❌	✅	❌	❌	✅	❌	❌	❌	❌
الوصول إلى بيانات الاعتماد	T1056.002	التقاط الإدخال: إدخال واجهة المستخدم الرسومية إلتقاط	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅
	T1056.001	التقاط الإدخال: Keylogging	✅	✅	✅	❌	✅	✅	✅	✅	✅	✅	✅
	T1555.003	بيانات الاعتماد من مخازن كلمات المرور: بيانات الاعتماد من متصفحات الويب	✅	✅	✅	✅	❌	✅	✅	✅	✅	❌	❌
	T1552.001	بيانات الاعتماد غير المؤمنة: بيانات الاعتماد في الملفات	❌	✅	✅	✅	❌	❌	❌	✅	❌	❌	❌
اكتشاف	T1010	اكتشاف نافذة التطبيق	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅
	T1518.001	اكتشاف البرامج: اكتشاف برامج الأمان	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅
	T1082	اكتشاف معلومات النظام	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅
	T1083	اكتشاف الملفات والدليل	✅	✅	✅	✅	✅	✅	✅	✅	✅	❌	❌
	T1057	اكتشاف العملية	❌	✅	✅	❌	✅	✅	✅	✅	✅	✅	❌
مجموعة	T1113	تصوير الشاشة	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅
مجموعة	T1115	بيانات الحافظة	✅	✅	❌	❌	❌	❌	✅	✅	✅	❌	❌
القيادة والتحكم	T1132.002	ترميز البيانات: ترميز غير قياسي	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅
	T1571	منفذ غير قياسي	✅	✅	✅	❌	✅	❌	✅	✅	✅	✅	✅
	T1132.001	ترميز البيانات: ترميز قياسي	❌	✅	✅	✅	✅	❌	❌	❌	❌	✅	✅
	T1568.002	الدقة الديناميكية: خوارزميات إنشاء المجال	❌	❌	✅	❌	✅	❌	✅	❌	❌	❌	❌
	T1568.003	الدقة الديناميكية: حساب DNS	❌	✅	❌	❌	❌	❌	✅	❌	❌	❌	❌
التسلل	T1048	الاستخراج عبر بروتوكول بديل	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅
التسلل	T1041	تسلل فوق قناة C2	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅	✅