برنامج تجسس برازيلي يخترق تطبيق واتساب لنشر عمليات تصيد احتيالي متعلقة بالعملات المشفرة

اكتشف باحثون أمنيون من مختبرات Elastic Security Labs حصان طروادة مصرفي برازيلي جديد يُدعى TCLBANKER. عند إصابة جهاز، يستولي هذا الحصان على حسابات الضحية في واتساب وأوتلوك، ويرسل رسائل تصيد احتيالي إلى جهات اتصالها.

تم تصنيف الحملة باسم REF3076. واستنادًا إلى البنية التحتية المشتركة وأنماط التعليمات البرمجية، ربط الباحثون TCLBANKER بعائلة البرامج الضارة المعروفة سابقًا MAVERICK/SORVEPOTEL.

ينتشر حصان طروادة من خلال أداة إنشاء مطالبات الذكاء الاصطناعي

شركة Elastic Security Labs أفادت أن البرمجية الخبيثة تأتي على شكل برنامج تثبيت مُخترق لتطبيق Logi AI Prompt Builder، وهو تطبيق أصلي موقّع من شركة Logitech. يأتي برنامج التثبيت في ملف مضغوط (ZIP) ويستخدم تقنية تحميل ملفات DLL الجانبية لتشغيل ملف خبيث يبدو وكأنه إضافة لبرنامج Flutter.

بمجرد تحميله، يقوم حصان طروادة بنشر حمولتين محميتين بواسطة .NET Reactor. إحداهما وحدة مصرفية والأخرى وحدة دودة مصممة للانتشار الذاتي.

بعد التحميل، يقوم حصان طروادة بنشر حمولتين محميتين بواسطة .NET Reactor. إحداهما وحدة مصرفية، والأخرى وحدة دودة يمكنها الانتشار ذاتيًا.

تُعيق عمليات التحقق من التحليل الباحثين

هناك ثلاثة أجزاء تشكل البصمة التي يقوم برنامج التحميل الخاص بـ TCLBANKER بإنشائها.

1. فحوصات مكافحة التصحيح.
2. معلومات القرص والذاكرة.
3. إعدادات اللغة.

تُنشئ بصمة الجهاز مفاتيح فك التشفير للحمولة المضمنة. إذا بدا أن هناك خطأ ما، مثل وجود مصحح أخطاء متصل، أو بيئة معزولة، أو مساحة قرص منخفضة، فإن عملية فك التشفير تُنتج بيانات غير مفهومة، ويتوقف البرنامج الخبيث تلقائيًا.

يقوم برنامج التحميل أيضاً بتعديل وظائف جمع البيانات في نظام ويندوز لحجب أدوات الأمان. كما يقوم بإنشاء مسارات استدعاء نظام مباشرة لتجنب عمليات الربط في وضع المستخدم.

يقوم نظام المراقبة دائمًا بالبحث عن برامج التحليل مثل x64dbg وGhidra وdnSpy وIDA Pro وProcess Hacker وFrida. في حال العثور على أي من هذه الأدوات، يتوقف عمل الحمولة.

يتم تفعيل وحدة الخدمات المصرفية فقط على أجهزة الكمبيوتر البرازيلية

يتم تفعيل وحدة الخدمات المصرفية على أجهزة الكمبيوتر الموجودة في البرازيل. يوجد حد أدنى من عمليات التحقق من الموقع الجغرافي، والتي تشمل رمز المنطقة، والمنطقة الزمنية، وإعدادات النظام، وتخطيط لوحة المفاتيح.

يقرأ البرنامج الخبيث شريط عنوان المتصفح النشط باستخدام ميزة أتمتة واجهة المستخدم في نظام ويندوز. وهو يعمل على العديد من المتصفحات مثل كروم، وفايرفوكس، وإيدج، وبريف، وأوبرا، وفيفالدي، ويراقب عناوين URL النشطة كل ثانية.

يقوم البرنامج الخبيث بعد ذلك بمطابقة عنوان URL مع قائمة تضم 59 عنوان URL مشفرًا. تحتوي هذه القائمة على روابط لمواقع إلكترونية خاصة بالعملات المشفرة والبنوك وشركات التكنولوجيا المالية في البرازيل.

عندما يزور الضحية أحد المواقع الإلكترونية المستهدفة، يقوم البرنامج الخبيث بفتح اتصال WebSocket بخادم بعيد. وبذلك يحصل المخترق على تحكم كامل عن بُعد في جهاز الكمبيوتر.

بمجرد منح الوصول، يستخدم المخترق برنامجًا خفيًا يُغطي كل شاشة بنافذة علوية بلا حدود. هذا البرنامج غير مرئي في لقطات الشاشة، ولا يستطيع الضحايا مشاركة ما يرونه مع الآخرين.

يحتوي برنامج التراكب الخاص بالمخترق على ثلاثة قوالب:

• نموذج لجمع بياناتdentيحتوي على رقم هاتف برازيلي مزيف.
• شاشة عرض وهمية لتقدم تحديثات ويندوز.
• "شاشة انتظار للاحتيال عبر الهاتف" تُبقي الضحايا مشغولين.

تقوم برامج آلية خبيثة بنشر حصان طروادة برازيلي على واتساب وأوتلوك

تقوم الحمولة الثانية بنشر برنامج TCLBANKER إلى ضحايا جدد من خلال طريقتين:

• تطبيق واتساب للويب.
• صناديق البريد الوارد/الحسابات في برنامج Outlook.

يبحث برنامج واتساب الآلي عن جلسات واتساب ويب النشطة في متصفحات كروميوم من خلال تحديد موقع أدلة قاعدة البيانات المحلية للتطبيق.

فإن "المتصفح بدون واجهة رسومية هو متصفح ويب لا يحتوي على واجهة مستخدم رسومية". ويكيبيديابعد ذلك، يقوم البرنامج بحقن شيفرة جافا سكريبت لتجاوز أنظمة كشف البرامج الخبيثة، ويجمع جهات اتصال الضحية.

في النهاية، يرسل البرنامج الآلي رسائل تصيد تحتوي على برنامج تثبيت TCLBANKER إلى جهات اتصال الضحية.

يتصل برنامج Outlook الآلي من خلال أتمتة نموذج كائن المكون (COM). تتيح أتمتة COM لبرنامج ما التحكم في برنامج آخر.

يقوم البرنامج الآلي بأخذ عناوين البريد الإلكتروني من مجلد جهات الاتصال وسجل البريد الوارد، ثم يرسل رسائل بريد إلكتروني تصيدية باستخدام حساب الضحية.

تحمل رسائل البريد الإلكتروني عنوان "NFe disponível para impressão"، والذي يعني باللغة الإنجليزية "tronInvoice Available for Printing". ويرتبط هذا العنوان بموقع تصيد احتيالي ينتحل صفة منصة تخطيط موارد المؤسسات البرازيلية.

وبما أن رسائل البريد الإلكتروني تُرسل من حسابات حقيقية، فمن المرجح أن تتجاوز مرشحات البريد العشوائي.

في الأسبوع الماضي، Cryptopolitan أن الباحثين حددواdentأربعة برامج تجسس لنظام Android تستهدف أكثر من 800 تطبيق من تطبيقات العملات المشفرة والخدمات المصرفية ووسائل التواصل الاجتماعي من خلال طبقات تسجيل دخول مزيفة.

آخر تقرير، قام برنامج خبيث يسمى StepDrainer بسحب الأموال من المحافظ عبر أكثر من 20 شبكة بلوك تشين باستخدام واجهات اتصال محفظة Web3 مزيفة.