يكشف IBM عن فيروس Trojan مصرفي لسرقة بيانات غير مرخص يستهدف المصارف في أمريكا اللاتينية

اكتشفت شركة IBM برنامجًا خبيثًا مصرفيًا يُعرف باسم UnregStealer يستهدف بنوكًا في أمريكا اللاتينية، بينما يتخفّى على هيئة إضافة (ملحق) لمتصفح Chrome. قال كبير الباحثين في التهديدات Itzhak Chimino إن البرمجية الخبيثة تخدع المستخدمين من خلال حملهم على تثبيتها عبر عرض تنبيهات أمنية مزيفة حول تحديث إلزامي لشهادة SSL. تعمل هذه البرمجية الخبيثة مع إشراف بشري يدوي، ما يجعلها شبه غير مرئية لأنظمة العزل (sandboxes) وأنظمة الكشف السلوكي التي لا تشاهد الحمولة (payload) وهي تُفعَّل. تتيح طريقة التشغيل هذه لـ UnregStealer سرقة ملفات تعريف الجلسات (session cookies) وكلمات المرور والرموز لمرة واحدة (one-time passwords) وأرقام الحسابات من الضحايا الذين يزورون بوابات مصرفية مستهدفة.

UnregStealer يتخفّى كتحديث لشهادة SSL

وفقًا لـ Chimino، يخدع UnregStealer المستخدمين عبر تنبيهات أمنية مُفبركة. وبناءً على اصطلاح تسمية الملف القابل للتنفيذ ونمط التسليم، يُقدَّم للضحايا ما يبدو أنه تنبيه أمني يخبرهم بأن متصفحهم يحتاج إلى تحديث إلزامي لشهادة SSL. الشهادة مُفبركة بالكامل، ولا توجد أي متطلبات من هذا النوع في الواقع. إنها مجرد قصة تغطية مقنعة لإقناع الضحية بتشغيل ملف قابل للتنفيذ.

البرمجية الخبيثة تلتقط بيانات اعتماد البنوك عبر مراقبة الجلسة

عندما يتصفح المستخدم الإنترنت، تعمل البرمجية الخبيثة عبر تشغيل سكربت يتحقق مما إذا كان الضحية يزور واحدًا من مواقع الويب المدرجة ضمن بوابات البنوك المستهدفة. في هذه الحالة، تسرق البرمجية الخبيثة ملفات تعريف الجلسة الخاصة بموقع البنك الذي يزوره الضحية. في كل مرة يتم فيها النقر على حقل وإدخال معلومات، تلتقط البرمجية بيانات مميزة مثل كلمات المرور والرموز لمرة واحدة وأرقام الحسابات.

التشغيل اليدوي يمكّن من تفادي أنظمة الكشف

وأوضح Chimino أن هذا الاختراق يتضمن مشغلًا حقيقيًا يراقب كل جلسة للضحية مباشرة ويسحب الزناد يدويًا. تجعل هذه النسخة من الحملة غير مرئية تقريبًا لأنظمة العزل (sandboxes) وأنظمة الكشف السلوكي التي لا تشاهد الحمولة وهي تُفعَّل. بمجرد التقاط المعلومات، يتم تحديد مسار الخطوة التالية لـ UnregStealer بواسطة مشغلها البشري.

IBM تحدد احتمالية لتوسيع نطاق الاستهداف

وفقًا لـ Chimino، تمتلك البرمجية الخبيثة المصرفية UnregStealer القدرة والاحتمال لتشكل تهديدًا أكبر. تشير أنماط البنية التحتية المرصودة إلى مشغل لديه القدرة والدافع لتوسيع نطاق الاستهداف بما يتجاوز ما أكدته هذه التحقيقات.

الأسئلة الشائعة

ما هو UnregStealer وكيف يستهدف الضحايا؟

UnregStealer هو حصان طروادة مصرفي يستهدف بنوكًا في أمريكا اللاتينية عبر التخفّي على هيئة إضافة لمتصفح Chrome. يخدع المستخدمين في تثبيته عبر تنبيهات أمنية مزيفة حول تحديث إلزامي لشهادات SSL، وهي تنبيهات مُفبركة بالكامل.

كيف يتفادى UnregStealer أنظمة الكشف؟

تتضمن البرمجية الخبيثة مشغلًا حقيقيًا يراقب كل جلسة للضحية مباشرة ويسحب الزناد يدويًا. يجعل هذا التشغيل اليدوي الحملة غير مرئية تقريبًا لأنظمة العزل (sandboxes) وأنظمة الكشف السلوكي التي لا تشاهد الحمولة وهي تُفعَّل.

ما المعلومات التي يسرقها UnregStealer من الضحايا؟

يسرق UnregStealer ملفات تعريف الجلسة لمواقع بنكية، ويلتقط معلومات مميزة مثل كلمات المرور والرموز لمرة واحدة وأرقام الحسابات في كل مرة يتم فيها النقر على حقل وإدخال معلومات على بوابات بنكية مستهدفة.