Zanubis.. برمجية حصان طروادة المصرفية وتهديدات العملات المشفرة
تاريخ النشر: 2nd, October 2023 GMT
حلل خبراء كاسبرسكي مؤخراً حملة حديثة من برمجية Zanubis، وهي برمجية خبيثة مصرفية من نوع حصان طروادة، معروفة بقدرتها على التنكر على هيئة تطبيقات مشروعة. كما سلّط تحليل الخبراء الضوء على أداة التشفير والتحميل، AsymCrypt، الحديثة، وأداة Lumma لسرقة البيانات. ويؤكد ذلك على الحاجة المتزايدة للأمن الرقمي المعزز.
ظهرت برمجية حصان طروادة المصرفية، Zanubis، للمرة الأولى على هواتف أندرويد في شهر أغسطس 2022، حيث استهدفت مستخدمي الخدمات المالية ومتداولي العملات المشفرة في دولة بيرو. فهي تخدع المستخدمين عبر التظاهر بأنها تطبيقات بيروفية مشروعة على نظام أندرويد وتستدرج الضحايا لمنحها أذونات وصول تعطيها التحكم الكامل. ويبدو أن Zanubis تطوّرت بحلول شهر أبريل 2023، إذ ظهرت حينها متنكرة على هيئة التطبيق الرسمي لهيئة الجمارك البيروفية SUNAT أو Superintendencia Nacional de Aduanas y de Administración Tributaria، مما زاد الأمر تعقيداً. إذ بمجرد حصول Zanubis على إذن للوصول إلى جهاز ما، تخدع البرمجية الضحية عن طريق تحميل موقع SUNAT الحقيقي عبر خاصية عرض الويب، مما يوحي بأنها مشروعة. كما تستعين Zanubis بأداة Obfuscapk، وهي أداة تمويه شائعة لتطبيقات APK الخاصة بنظام أندرويد، في إخفاء حقيقتها الخبيثة.
تستخدم برمجية Zanubis بروتوكول WebSockets ومكتبة تسمى Socket.IO للتواصل مع خادم تحكمها. مما يسمح لها بالتأقلم والحفاظ على الاتصال حتى عند مواجهتها للمشاكل. وعلى عكس البرمجيات الخبيثة الأخرى، لا تستهدف Zanubis قائمة ثابتة من التطبيقات. حيث يمكن برمجتها عن بُعد لسرقة البيانات عندما تعمل تطبيقات معينة. كما تقوم البرمجية بإنشاء اتصال ثانٍ قد يمنح المجرمين السيطرة الكاملة على أجهزة الضحايا. والأسوأ من ذلك، أنه يمكنها تعطيل أجهزة الضحايا كلياً بحجة أنها تحديث لنظام تشغيل الأندرويد.
ومن اكتشافات فريق كاسبرسكي الأخرى هي أداة التشفير والتحميل، AsymCrypt، والتي تستهدف محافظ العملات المشفرة، ويتم بيع هذه الأداة في المنتديات السرية على الإنترنت. إذ أظهر التحقيق أنها إصدار مطوَّر من أداة تحميل DoubleFinger يعمل بمثابة «واجهة» لخدمة شبكة تور (TOR). حيث يقوم المشترون بتخصيص طرق الحقن، والعمليات المستهدفة، والاستمرارية عند الإقلاع، وأنواع الأعقاب لمكتبات DLL الخبيثة، ويخفون الحمولة في كائن ثنائي كبير (blob) مشفر داخل صورة بصيغة .png يقومون بتحميلها على موقع لاستضافة الصور. ويؤدي تشغيل الأداة الخبيثة إلى فك تشفير الصورة، وبالنتيجة تنشيط الحمولة في الذاكرة.
أدى تتبع كاسبرسكي للتهديدات السيبرانية أيضاً إلى الكشف عن أداة سرقة البيانات Lumma، التي تعد سلالة برمجيات خبيثة جارية التطور. كانت Lumma تُعرف في السابق باسم Arkei، وهي لا تزال تحتفظ بمجمل 46% من سماتها السابقة. فهي تتخفى وتنتشر على هيئة أداة تحويل ملفات من صيغة .docx إلى .pdf، ثم تقوم بتنشيط الحمولة الخبيثة عندما تحوّل الملفات التي يتم تحميلها عليها إلى ملفات بصيغة .pdf.exe المزدوجة. ومع مرور الوقت، حافظت النسخ الجديدة من الأداة على وظيفتها الرئيسية؛ ألا وهي سرقة الملفات المخزنة مؤقتاً، وملفات الإعداد، والسجلات من محافظ العملات المشفرة. ومن المقلق أنه يمكنها القيام بمهتمها بالعمل كإضافة لمتصفح الويب، أو بالتأثير على التطبيق المستقل لمنصة التداول Binance. ومع تطور Lumma، باتت الأداة تجمع قوائم عمليات النظام، وتغير عناوين URL للاتصالات، كما تقدّمت تقنيات تشفيرها.
قالت تاتيانا شيشكوفا، باحثة أمن رئيسية في فريق البحث والتحليل العالمي GReAT، لدى كاسبرسكي، عن هذه الاكتشافات: "لا يتهاون المجرمون السيبرانيون في سعيهم لتحقيق مكاسب مالية، فهم يدخلون عالم العملات المشفرة وحتى أنهم ينتحلون هويات المؤسسات الحكومية لتحقيق أهدافهم. تكشف بيئة البرمجيات الخبيثة دائمة التطور، والتي تتجسد في أداة سرقة البيانات متعددة الأوجه، Lumma، وطموحات برمجية Zanubis كحصان طروادة مصرفي متكامل، عن الطبيعة الديناميكية لهذه التهديدات. ويعد التكيف مع هذا التحول المستمر في الكود الخبيث وأساليب المجرمين السيبرانيين تحدياً مستمراً أمام الفرق الأمنية. فيجب على الشركات أن تبقى متأهبة ومطّلعة لحماية نفسها من هذه المخاطر المتطورة. تلعب التقارير التحليلية دوراً محورياً في معرفة أحدث التكتيكات والأدوات الخبيثة التي يستخدمها المهاجمون، فهي تمكننا من الحفاظ على تقدمنا بخطوة في كفاحنا المستمر للأمن الرقمي.
للوقاية من التهديدات ذات الدوافع المالية، توصي كاسبرسكي بما يلي:
أعِدَّ نسخاً احتياطية غير متصلة بالإنترنت ولا يمكن للمخترقين العبث بها. وتأكد من إمكانية الوصول إليها بسرعة عند الحاجة.
ثبِّت حلولاً لحماية جميع النقاط الطرفية من برمجيات الفدية.
استخدم حلاً أمنياً مخصصاً يمكن التحكم به عبر تطبيق أو عبر الإنترنت لتخفيض إمكانية تشغيل الأدوات الخبيثة لتعدين العملات المشفرة. ومن هذه الحلول Kaspersky Endpoint Security for Business، الذي يقوم بتحليل السلوك ليكتشف الأنشطة الخبيثة بسرعة، كما يقدم برنامجاً يدير ويسد الثغرات الأمنية للحماية من معدّني العملات المشفرة الذين يستغلون الثغرات.
المصدر: بوابة الوفد
كلمات دلالية: العملات المشفرة
إقرأ أيضاً:
كاسبرسكي تكشف عن 414 ألف عملية احتيال إلكتروني في 2024
رصد باحثو الأمن السيبراني في كاسبرسكي خلال عام 2024 أكثر من 414,000 عملية احتيال إلكتروني عبر البريد الإلكتروني، تُعرف باسم "الاحتيال النيجيري"، والتي تعتمد على استدراج الضحايا بعروض مالية مغرية لبدء محادثات تُستخدم لاحقًا للاحتيال عليهم.
تنوع أساليب الاحتيال: من المكائد الرومانسية إلى الاستثمارات الوهميةشهدت عمليات الاحتيال خلال العام الماضي تطورًا ملحوظًا في أساليبها، حيث تضمنت مكائد رومانسية يطالب فيها المحتالون بتعويضات مالية مزعومة عن نفقات سفر، بالإضافة إلى محتالين يدّعون أنهم مستثمرون أثرياء يبحثون عن فرص لتمويل المشاريع، وأشخاص يتظاهرون بتمثيل جمعية "المتنورين" السرية، ويعدون المتلقين بالسلطة والثروة مقابل الانضمام إليهم.
تندرج هذه العمليات ضمن احتيالات الدفع المسبق، حيث يعد المحتالون الضحايا بأموال طائلة أو امتيازات مغرية، لكنهم يشترطون دفع رسوم مقدمة مثل تكاليف قانونية أو نفقات إدارية قبل أن يختفوا بالأموال، تطورت هذه الخدع على مدار السنوات، حيث بات المجرمون يستغلون الأحداث الجارية والموضوعات الرائجة لاستدراج الضحايا.
إلى جانب الأساليب التقليدية، كشف تقرير كاسبرسكي عن احتيالات أكثر تعقيدًا، مثل إرسال عروض لصداقة رومانسية، حيث يُقنع المحتال الضحية بتحويل أموال لتغطية تكاليف سفره للقائه. في سيناريو آخر، يدّعي المحتال رغبته في إرسال هدية ثمينة لكنه يطلب من الضحية دفع رسوم الشحن.
ومن بين الأساليب غير التقليدية التي رُصدت رسائل احتيالية تدّعي أنها من جمعية "المتنورين"، حيث يَعِد المحتالون بمشاركة السلطة والثروة مع الضحايا إذا وافقوا على الانضمام إليهم.
استغلال الانتخابات والأحداث الجارية لخداع الضحاياكشفت كاسبرسكي أيضًا عن عمليات احتيال تستغل الأحداث السياسية والاقتصادية العالمية، مثل انتخابات الرئاسة الأمريكية لعام 2024، حيث زعمت رسائل مزيفة أن المتلقين فازوا بملايين الدولارات من مؤسسة دونالد ترامب. كما استخدم المحتالون جائحة كوفيد-19 واحتمال انضمام السعودية إلى مجموعة البريكس كحيل لإقناع الضحايا بأنهم مؤهلون للحصول على تعويضات مالية.
وفي محاولة لتعزيز مصداقية رسائلهم، أرفق بعض المحتالين صورًا لوثائق مزيفة يُفترض أنها تثبت هوية المرسلين.
الاحتيال يصل إلى قطاع الأعماللم تقتصر هذه العمليات على الأفراد فحسب، بل امتدت إلى قطاع الأعمال (B2B)، حيث زعم المحتالون أنهم مستثمرون يبحثون عن شركات للدخول في شراكات معها، مطالبين الضحايا بالرد على البريد الإلكتروني لترتيب "الاستثمار".
تحذيرات وتوصيات للوقاية من الاحتيالحذرت آنا لازاريشيفا، محللة البريد العشوائي في كاسبرسكي، من خطورة هذه العمليات، مؤكدةً أن "الاحتيال النيجيري لا يزال أحد أكثر أشكال الاحتيال الإلكتروني تنوعًا، حيث يعتمد على بناء الثقة والتلاعب النفسي بدلاً من الروابط الخبيثة أو الفيروسات. ويطوّر المحتالون تكتيكاتهم باستمرار، مستغلين الأحداث العالمية والأخبار الشائعة لخداع الضحايا".
كيفية الحماية من عمليات الاحتيال عبر البريد الإلكترونيلتجنب الوقوع ضحية لهذه العمليات، يوصي خبراء كاسبرسكي باتباع الإجراءات التالية:
تجاهل العروض المالية المغرية والمراسلات المشبوهة، لا سيما من أشخاص مجهولين أو غير موثوقين.
التحقق من صحة الرسائل الإلكترونية قبل الرد، مع الانتباه للأخطاء اللغوية أو التناقضات في المحتوى.
عدم مشاركة أي بيانات شخصية أو مالية عبر البريد الإلكتروني دون التحقق من المصدر.
استخدام برامج الحماية المتقدمة للكشف عن رسائل الاحتيال وحظرها.
مع استمرار تطور أساليب الاحتيال، يؤكد الخبراء على أهمية تعزيز الوعي الرقمي، والحرص على التحقق من أي مراسلات إلكترونية غير متوقعة لتجنب الوقوع في الفخاخ الإلكترونية.
فريق “ليجون 13″ و”ميرونك” يتصدران أول أيام بطولة” ليف جولف الرياض 2025″