الجريمة الإلكترونية المالية في أمريكا اللاتينية والكاريبي

مدير عام2 أكتوبر 2020آخر تحديث :
الجريمة الإلكترونية المالية في أمريكا اللاتينية والكاريبي

يكتشف باحثو ESET بشكل مفاجئ العديد من مؤشرات التعاون الوثيق بين مؤلفي أحصنة طروادة المصرفية في أمريكا اللاتينية

نشرت ESET ورقة بيضاء توضح بالتفصيل النتائج التي توصلت إليها حول الترابط بين عائلات طروادة المصرفية في أمريكا اللاتينية. الورقة البيضاء كانت ايضا نشرته نشرة الفيروسات.

لفترة طويلة ، كان يُنظر إلى أحصنة طروادة المصرفية في أمريكا اللاتينية على أنها مجموعة واحدة من البرامج الضارة. اكتشف باحثو ESET أن الأمر ليس كذلك ، وأنه على الرغم من وجود الكثير من القواسم المشتركة ، يمكن التعرف على العديد من عائلات البرامج الضارة المتميزة بين هذه البرامج المصرفية في أحصنة طروادة. على مدار العام الماضي ، كنا ننشر سلسلة منشورات مدونة مستمرة حول عائلات البرامج الضارة لأحصنة طروادة المصرفية في أمريكا اللاتينية. تركز هذه المدونات بشكل أساسي على الجوانب الأكثر أهمية وإثارة للاهتمام لهذه العائلات. حتى الآن ، قمنا بكشف القناع فافالس، كاسبانييرو، ميسبادو، جيلدما، جراندوريرو و ميكوتيو في هذه السلسلة. في القطع القادمة ، سنواصل مع Krachulka و Lokorrito و Numando و Vadokrist و Zumanek.

في هذا المستند التعريفي التمهيدي ، ننظر إلى هذه العائلات من منظور أعلى مستوى – بدلاً من فحص تفاصيل كل عائلة وإبراز خصائصها الفريدة ، نركز على الأشياء المشتركة بينها. إذا كنت تتابع سلسلتنا ، فربما لاحظت بعض أوجه التشابه بين عائلات متعددة في سلسلتنا ، مثل استخدام نفس الخوارزمية غير الشائعة لتشفير السلاسل أو DGAs المتشابهة بشكل مثير للريبة للحصول على عناوين خادم C&C.

أول أوجه التشابه التي رصدناها كانت في التنفيذ الفعلي لأحصنة طروادة المصرفية. أكثرها وضوحًا هو التنفيذ المتماثل عمليًا لنواة طروادة المصرفية – إرسال إخطار إلى المشغل ، والمسح الدوري للنوافذ النشطة بناءً على الاسم أو العنوان ، والهجوم عبر النوافذ المنبثقة الزائفة المصممة بعناية في محاولة لاستدراج المعلومات الحساسة من الضحايا. بالإضافة إلى ذلك ، تشترك عائلات البرامج الضارة هذه في مكتبات جهات خارجية غير شائعة ، وخوارزميات تشفير السلسلة ، وتقنيات التشويش الثنائية والتشويش.

ومع ذلك ، فإن أوجه التشابه لا تنتهي عند هذا الحد. عند تحليل سلاسل التوزيع لعائلات البرامج الضارة هذه ، أدركنا أنها تشترك في نفس المنطق الأساسي أيضًا – فهم عادةً يبحثون عن علامة (كائن ، مثل ملف أو قيمة مفتاح التسجيل المستخدمة للإشارة إلى أن الجهاز قد تم اختراقه بالفعل) ، وتنزيل البيانات في أرشيفات ZIP. إلى جانب ذلك ، لاحظنا سلاسل توزيع متطابقة تنتهي بتوزيع العديد من أحصنة طروادة المصرفية في أمريكا اللاتينية. ومن الجدير بالذكر أيضًا أنه منذ عام 2019 ، بدأت الغالبية العظمى من عائلات البرامج الضارة هذه في استخدام Windows Installer (ملفات MSI) كمرحلة أولى في سلسلة التوزيع.

تشترك أحصنة طروادة المصرفية في أمريكا اللاتينية في طرق التنفيذ أيضًا. إنهم يميلون إلى إحضار أدواتهم الخاصة المجمعة في أرشيفات ZIP المذكورة أعلاه. الطريقتان الأكثر شيوعًا هما التحميل الجانبي لـ DLL وإساءة استخدام مترجم AutoIt شرعي. بالإضافة إلى ذلك ، عند استخدام الطريقة السابقة ، فإن العديد من العائلات تسيء استخدام نفس التطبيقات الضعيفة لهذا الغرض (ما يسمى ب أحضر البرامج الضعيفة الخاصة بك).

يأتي مصطلح “حصان طروادة المصرفية في أمريكا اللاتينية” من المنطقة التي تستهدفها عادةً أحصنة طروادة المصرفية – أمريكا اللاتينية. ومع ذلك ، منذ أواخر عام 2019 ، نرى العديد منهم يضيفون إسبانيا والبرتغال إلى قائمة البلدان التي يستهدفونها. علاوة على ذلك ، تستخدم العائلات المختلفة قوالب بريد إلكتروني عشوائية مماثلة في حملاتهم الأخيرة ، كما لو كانت هذه خطوة منسقة أيضًا.

نظرًا للعديد من أوجه التشابه ، يمكن للمرء أن يتوقع مشاركة النوافذ المنبثقة المزيفة التي تستخدمها أحصنة طروادة المصرفية أيضًا. في الواقع ، يبدو أن العكس هو الصحيح. على الرغم من أن النوافذ تبدو متشابهة (نظرًا لأنها مصممة لخداع العملاء من نفس المؤسسات المالية) ، لم نرصد العديد من العائلات التي تستخدم مطابق شبابيك.

نظرًا لأننا لا نعتقد أنه من الممكن أن يتوصل مؤلفو البرامج الضارة المستقلون إلى الكثير من الأفكار الشائعة ولا نعتقد أيضًا أن مجموعة واحدة مسؤولة عن الحفاظ على جميع عائلات البرامج الضارة هذه ، فإننا نستنتج أن هذه جهات تهديدات متعددة تتعاون بشكل وثيق مع بعض. يمكنك العثور على معلومات مفصلة حول أوجه التشابه التي قدمناها بإيجاز هنا ، في المستند التقني.

تقنيات MITER ATT & CK

في الجدول أدناه ، والذي يمثل مجموعًا من الأساليب المستندة إلى جدول MITER ATT & CK القياسي ، نوضح العديد من الميزات التي تشترك فيها أحصنة طروادة المصرفية في أمريكا اللاتينية. إنها ليست قائمة شاملة ، بل قائمة تركز على أوجه التشابه. يظهر بشكل أساسي أن:

  • التصيد الاحتيالي هو ناقل الهجوم الأكثر شيوعًا
  • يعتمدون بشكل كبير على لغات البرمجة النصية ، وخاصة VBScript
  • يعد مفتاح تشغيل السجل أو مجلد بدء التشغيل أكثر طرق الثبات شيوعًا
  • كلهم يشوهون إما الحمولات أو بيانات التكوين بطريقة ما
  • إنهم يفضلون بشدة التحميل الجانبي لـ DLL
  • لسرقة بيانات الاعتماد ، فإنهم يميلون إلى استخدام النوافذ المنبثقة الزائفة أو برامج تسجيل المفاتيح
  • يكرسون جهدًا كبيرًا لجمع لقطات الشاشة والمسح الضوئي لبرامج الأمان
  • تُفضل خوارزميات التشفير المخصصة على الخوارزميات المعمول بها
  • لا يقومون بسحب جميع البيانات التي تم حصادها إلى خادم القيادة والتحكم ، لكنهم يستخدمون مواقع مختلفة أيضًا

ملاحظة: تم إنشاء هذا الجدول باستخدام الإصدار 7 من إطار MITER ATT & CK.

تكتيك هوية شخصية اسم فافالس كاسبانييرو جراندوريرو جيلدما كراتشولكا لوكوريتو ميكوتيو ميسبادو نوماندو فادوكريست زومانيك
الوصول الأولي T1566.001 التصيد الاحتيالي: مرفق Spearphishing
T1566.002 التصيد الاحتيالي: ارتباط Spearphishing
إعدام T1059.005 مترجم الأوامر والبرمجة: Visual Basic
T1059.007 مترجم الأوامر والبرمجة: JavaScript / JScript
T1059.003 مترجم الأوامر والبرمجة: Windows Command Shell
T1059.001 مترجم الأوامر والبرمجة: بوويرشيل
T1047 نوافذ إدارة الأجهزة
T1059 القيادة والبرمجة مترجم
إصرار T1547.001 التمهيد أو تنفيذ تسجيل الدخول التلقائي: مفاتيح تشغيل التسجيل / مجلد بدء التشغيل
T1053.005 المهمة / الوظيفة المجدولة: المهمة المجدولة
التهرب الدفاعي T1140 فك تشفير / فك تشفير الملفات أو المعلومات
T1574.002 تدفق تنفيذ الاختطاف: تحميل جانبي لـ DLL
T1497.001 المحاكاة الافتراضية / تجنب وضع الحماية: فحوصات النظام
T1218.007 تنفيذ الوكيل الثنائي الموقع: Msiexec
T1036.005 التنكر: تطابق الاسم الشرعي أو الموقع
T1197 وظائف BITS
T1112 تعديل التسجيل
T1218.011 تنفيذ الوكيل الثنائي الموقع: Rundll32
T1027.001 ملفات أو معلومات مبهمة: حشو ثنائي
T1220 XSL Script Processing
الوصول إلى بيانات الاعتماد T1056.002 التقاط الإدخال: إدخال واجهة المستخدم الرسومية إلتقاط
T1056.001 التقاط الإدخال: Keylogging
T1555.003 بيانات الاعتماد من مخازن كلمات المرور: بيانات الاعتماد من متصفحات الويب
T1552.001 بيانات الاعتماد غير المؤمنة: بيانات الاعتماد في الملفات
اكتشاف T1010 اكتشاف نافذة التطبيق
T1518.001 اكتشاف البرامج: اكتشاف برامج الأمان
T1082 اكتشاف معلومات النظام
T1083 اكتشاف الملفات والدليل
T1057 اكتشاف العملية
مجموعة T1113 تصوير الشاشة
T1115 بيانات الحافظة
القيادة والتحكم T1132.002 ترميز البيانات: ترميز غير قياسي
T1571 منفذ غير قياسي
T1132.001 ترميز البيانات: ترميز قياسي
T1568.002 الدقة الديناميكية: خوارزميات إنشاء المجال
T1568.003 الدقة الديناميكية: حساب DNS
التسلل T1048 الاستخراج عبر بروتوكول بديل
T1041 تسلل فوق قناة C2

كما ترون ، فإن أحصنة طروادة المصرفية في أمريكا اللاتينية ، رغم اختلافها ، لديها العديد من السمات الحاسمة المشتركة.

اترك تعليق

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


شروط التعليق :

عدم الإساءة للكاتب أو للأشخاص أو للمقدسات أو مهاجمة الأديان أو الذات الالهية. والابتعاد عن التحريض الطائفي والعنصري والشتائم.

الاخبار العاجلة