تقرير يكشف.. ثلاث برمجيات خبيثة قادرة على سرقة البيانات والأموال – شعاع نيوز

كشف أحدث تقرير عن البرمجيات الإجرامية الصادر عن مركز الأبحاث الروسي كاسبرسكي وحلل ثلاثة تهديدات خبيثة قادرة على سرقة البيانات والأموال: أداة سرقة البيانات GoPIX، التي تستهدف نظام الدفع البرازيلي PIX، بالإضافة إلى أداة سرقة البيانات متعددة الوظائف Lumar، و سلالة برامج الفدية Rhysida. مع استمرار تزايد التهديدات السيبرانية ذات الدوافع المالية، يحث الخبراء المستخدمين على البقاء يقظين.

كان التهديد الأول الذي تناوله التقرير هو GoPIX، وهي حملة ضارة تعمل منذ ديسمبر 2022، وتركز على استهداف نظام الدفع PIX المستخدم على نطاق واسع في البرازيل.

تبدأ استراتيجية GoPIX عندما يبحث المستخدمون عن إصدار الويب من WhatsApp في محرك البحث. تستخدم الحملة إعلانات خادعة لجذب الضحايا.

تستخدم الحملة أيضًا أداة مكافحة الاحتيال الخاصة بنقاط جودة IP لتمييز المستخدمين الحقيقيين عن الروبوتات، وتوفر خيارين للتنزيل استنادًا إلى حالة المنفذ 27275 المرتبط بـ Avast Safe Banking.

تم تصميم هذا البرنامج الضار لسرقة بيانات المعاملات المصرفية والتلاعب بها، وهو يتميز بالمرونة في تنفيذ مراحل مختلفة والاستجابة للأوامر الصادرة عن خادم القيادة والتحكم (C2).

أما بالنسبة لأداة سرقة البيانات متعددة الوظائف Lumar، فقد تمت مراجعتها لأول مرة من قبل مستخدم يُدعى Collector في يوليو 2023.

تتمتع الأداة بقدرات هائلة، بما في ذلك تسجيل جلسات المستخدم على تطبيق Telegram، وجمع كلمات المرور وملفات التعريف وبيانات الملء التلقائي، واسترجاع الملفات من أجهزة كمبيوتر المستخدمين، واستخراج البيانات من محافظ العملات المشفرة المختلفة.

ومن ناحية أخرى، تتميز أداة Lumar بحجمها الصغير الناتج عن برمجتها بلغة C، رغم أن هذا الحجم الصغير لا يحد من إمكانياتها. بمجرد تشغيل أداة Lumar، تقوم بجمع معلومات النظام وبيانات المستخدم، ثم ترسلها إلى خادم الأوامر والتحكم (C2).

تستفيد عملية جمع البيانات هذه من ثلاثة سلاسل معالجة منفصلة. يستضيف مطور أداة Lumar خادم الأوامر والتحكم الخاص به ويتعامل معه كموفر للبرامج الضارة كخدمة (MaaS)، والذي يوفر ميزات سهلة الاستخدام مثل التحليلات وسجلات البيانات.

يمكن للمستخدمين تنزيل أحدث إصدار من Lumar وتلقي إشعارات على تطبيق Telegram حول البيانات الواردة.

يعد برنامج Rhysida Ransomware بمثابة دخول حديث إلى مشهد برامج الفدية كخدمة (RaaS)، حيث تم اكتشافه من خلال قراءات Kaspersky في مايو. ويتميز هذا البرنامج باستخدامه آلية فريدة للحذف الذاتي، كما أنه متوافق مع إصدارات أنظمة التشغيل السابقة لنظام التشغيل Windows 10.

ومن الجدير بالذكر أن تصميم أداة Rhysida معقد للغاية؛ تمت كتابة الكود بلغة C++ وتم تجميعه باستخدام MinGW والمكتبات المشتركة، وعلى الرغم من حداثة Rhysida النسبية، فقد واجه البرنامج تحديات الإعداد الأولية مع خادم التوجيه البصلي الخاص به، مما يكشف عن قدرة المطور على التكيف والتعلم بسرعة.

وتعليقًا على هذه النتائج، قال جورنيت فاندر ويل، الباحث الأمني ​​المتقدم في فريق البحث والتحليل العالمي في كاسبرسكي: “مع تزايد التهديدات السيبرانية ذات الدوافع المالية، فإننا نبقى ثابتين في التزامنا بحماية البيئات الرقمية. نحن نتتبع عن كثب مشهد التهديدات السيبرانية المتطور ونصمم حلولًا أمنية لإحباط الهجمات بشكل استباقي، ولضمان سلامتك، نشجع بقوة على اعتماد استراتيجية قوية للأمن السيبراني تعالج هذه التهديدات.

وتوصي Kaspersky أيضًا المستخدمين باتخاذ عدة تدابير لمنع التهديدات ذات الدوافع المالية، وهي:

قم بعمل نسخ احتياطية من بياناتك بحيث تكون غير متصلة بالإنترنت ولا يمكن للمهاجمين العبث بها، وتأكد من إمكانية الوصول إليها بسرعة عند الحاجة.

قم بتثبيت حلول الحماية من برامج الفدية على جميع نقاط النهاية التي تحمي أجهزة الكمبيوتر والخوادم من برامج الفدية والبرامج الضارة الأخرى، وتمنع عمليات الاستغلال، وتتوافق مع حلول الأمان المثبتة مسبقًا.

استخدم حل حماية نقطة النهاية وخادم البريد الإلكتروني مع إمكانات مكافحة التصيد الاحتيالي لتقليل فرصة الإصابة من خلال رسائل التصيد الاحتيالي.

قم بإجراء تدقيق للأمن السيبراني لشبكاتك ومعالجة أي نقاط ضعف تكتشفها حول الشبكة أو داخلها.

وبحسب التقرير، تعتبر برامج الفدية جريمة يعاقب عليها القانون. إذا وقعت ضحية لذلك، فلا تدفع الفدية أبدًا، لأن الدفع لن يضمن استعادة بياناتك، ولكنه سيشجع المجرمين على مواصلة عملهم.

بدلاً من ذلك، قم بالإبلاغ عن الحادث إلى سلطات إنفاذ القانون المحلية، وحاول البحث عن برامج فك التشفير عبر الإنترنت.


المصدر

مقالات ذات صلة

زر الذهاب إلى الأعلى