برنامج ضار جديد بلغة JavaScript تم مراقبته وهو يحاول سرقة بيانات حسابات البنوك عبر الإنترنت في حملة استهدفت أكثر من 40 مؤسسة مالية حول العالم. النشاط، الذي يشمل حقن الويب باستخدام لغة JavaScript، يُقدر أنه أدى إلى على الأقل 50,000 جلسة مستخدم مصابة تمتد عبر أمريكا الشمالية وأمريكا الجنوبية وأوروبا واليابان. قالت شركة IBM Security Trusteer إنها اكتشفت الحملة في مارس 2023.
"نية الفاعلين هي اختراق تطبيقات البنوك الشهيرة و بمجرد تثبيت البرامج الضارة،يتم اعتراض بيانات الدخول لدي المستخدمين بهدف الوصول إليها وربما استغلال معلوماتهم المصرفية"، وفقًا للباحث الأمني تال لانغوس.
يتميز سلاسل الهجمات باستخدام نصوص تحملها الخوادم التي يتحكم فيها الفاعلون ("jscdnpack[.]com")، مستهدفة بشكل خاص هيكل صفحة مشترك بين عدة بنوك. يشتبه في أن البرامج الضارة يتم توصيلها إلى الأهداف بوسائل أخرى، على سبيل المثال عبر رسائل البريد الإلكتروني التصيدية أو الإعلانات الضارة.
عندما يزور الضحية موقع بنك، يتم تعديل صفحة تسجيل الدخول لتضم نصًا جافا سكريبت ضار قادر على جمع بيانات الاعتماد وكلمات المرور لمرة واحدة (OTPs). يتم تحجيم النص لإخفاء هدفه الحقيقي.
"هذه الحقنة لا تستهدف البنوك ذات صفحات التسجيل الدخول المختلفة، ولكنها ترسل بيانات حول الجهاز المصاب إلى الخادم ويمكن تعديلها بسهولة لاستهداف بنوك أخرى"، حسب قول لانغوس.
سلوك البرنامج الضار دينامكي ومستمر في استعلام كل من خادم التحكم وهيكل الصفحة الحالي وضبط تدفقه استنادًا إلى المعلومات المحصلة.
يحدد رد الخادم مساره التالي، مما يتيح له محو آثار الحقن وإدراج عناصر واجهة مستخدم احتيالية لقبول OTPs لتجاوز حمايات الأمان، بالإضافة إلى إدخال رسالة خطأ تقول إن خدمات الخدمات المصرفية عبر الإنترنت ستكون غير متاحة لفترة تبلغ 12 ساعة.
قالت IBM إن هذا محاولة لردع الضحايا عن تسجيل الدخول إلى حساباتهم، مما يوفر للفاعلين الهجوم فترة زمنية للاستيلاء على الحسابات وتنفيذ إجراءات غير مصرح بها.
في حين أن أصل البرنامج الضار غير معروف حاليًا بالضبط، تشير مؤشرات الاختراق إلى ارتباط محتمل بعائلة معروفة من برامج السرقة والتحميل تُعرف باسم DanaBot، والتي تم نشرها غالبًا عبر إعلانات Google Search، وتعمل كقاطرة وصول أولية لبرامج الفدية.
مفضلة، خاصة في تنفيذ هجمات رجل في المتصفح مع تواصله الديناميكي وأساليب حقن الويب والقدرة على التكيف بناءً على تعليمات الخادم وحالة الصفحة الحالية،" قال لانغوس.
يأتي هذا التطور مع إلقاء شركة سوفوس المزيد من الضوء على نظام تسليخ الخنزير حيث يتم جذب الأهداف المحتملة للاستثمار في خدمة تعدين السيولة المزيفة، مكشفة عن مجموعة أوسع من العمليات الاحتيالية التي حققت للمشتركين ما يقرب من 2.9 مليون دولار من العملات المشفرة هذا العام حتى 15 نوفمبر من 90 ضحية.
"يبدو أنها تمت إدارتها من قبل ثلاث مجموعات منفصلة نشطة تهديد باستخدام مواقع تطبيقات الأموال اللامركزية ('DeFi') المزيفة المتطابقة، مما يشير إلى أنها جزء من حلقة منظمة [صينية] واحدة أو ترتبط معها،" قال الباحث الأمني شون غالاغر.
وفقًا للبيانات التي شاركتها Europol في تقييمها لتهديد الجريمة المنظمة على الإنترنت (IOCTA) في بداية هذا الأسبوع، تظل جرائم الاحتيال في الاستثمار وجرائم الاحتيال عبر البريد الإلكتروني على رأس القائمة من بين أكثر مخططات الاحتيال عبر الإنترنت انتشارًا.
"التهديد المثير للقلق حول الاحتيال في الاستثمار هو استخدامه بالتزامن مع مخططات الاحتيال الأخرى ضد الضحايا نفسها،" قالت الوكالة.
"غالبًا ما يكون الاحتيال في الاستثمار مرتبطًا بعمليات الغش الرومانسية: يقوم الجناة ببناء علاقة ثقة مع الضحية ثم يقنعونها بالاستثمار مدخراتها في منصات تداول العملات المشفرة الوهمية، مما يؤدي إلى خسائر مالية كبيرة."
في سياق ذي صلة، قالت شركة الأمان السيبراني Group-IB إنها حددت 1,539 موقعًا للصيد الاحتيالي يقلدون شركات البريد وشركات التوصيل منذ بداية نوفمبر 2023. يُشتبه أنها تم إنشاؤها لحملة احتيال واحدة.
فضلة، خاصة في تنفيذ هجمات رجل في المتصفح مع تواصله الديناميكي وأساليب حقن الويب والقدرة على التكيف بناءً على تعليمات الخادم وحالة الصفحة الحالية،" قال لانغوس.
يأتي هذا التطور مع إلقاء شركة سوفوس المزيد من الضوء على نظام تسليخ الخنزير حيث يتم جذب الأهداف المحتملة للاستثمار في خدمة تعدين السيولة المزيفة، مكشفة عن مجموعة أوسع من العمليات الاحتيالية التي حققت للمشتركين ما يقرب من 2.9 مليون دولار من العملات المشفرة هذا العام حتى 15 نوفمبر من 90 ضحية.
"يبدو أنها تمت إدارتها من قبل ثلاث مجموعات منفصلة نشطة تهديد باستخدام مواقع تطبيقات الأموال اللامركزية ('DeFi') المزيفة المتطابقة، مما يشير إلى أنها جزء من حلقة منظمة [صينية] واحدة أو ترتبط معها،" قال الباحث الأمني شون غالاغر.
وفقًا للبيانات التي شاركتها Europol في تقييمها لتهديد الجريمة المنظمة على الإنترنت (IOCTA) في بداية هذا الأسبوع، تظل جرائم الاحتيال في الاستثمار وجرائم الاحتيال عبر البريد الإلكتروني على رأس القائمة من بين أكثر مخططات الاحتيال عبر الإنترنت انتشارًا.
"التهديد المثير للقلق حول الاحتيال في الاستثمار هو استخدامه بالتزامن مع مخططات الاحتيال الأخرى ضد الضحايا نفسها،" قالت الوكالة.
"غالبًا ما يكون الاحتيال في الاستثمار مرتبطًا بعمليات الغش الرومانسية: يقوم الجناة ببناء علاقة ثقة مع الضحية ثم يقنعونها بالاستثمار مدخراتها في منصات تداول العملات المشفرة الوهمية، مما يؤدي إلى خسائر مالية كبيرة."
في سياق ذي صلة، قالت شركة الأمان السيبراني Group-IB إنها حددت 1,539 موقعًا للصيد الاحتيالي يقلدون شركات البريد وشركات التوصيل منذ بداية نوفمبر 2023. يُشتبه أنها تم إنشاؤها لحملة احتيال واحدة.
في هذه الهجمات، يتم إرسال رسائل نصية قصيرة إلى المستخدمين تحاكي خدمات البريد المعروفة ويُطلب منهم زيارة مواقع الويب المزيفة لإدخال تفاصيلهم الشخصية وبيانات الدفع، مستشهدين بالتسليمات العاجلة أو الفاشلة.
تتميز العملية أيضًا بتضمين مختلف أساليب التهرب لتجنب الكشف. ويشمل ذلك تقييد الوصول إلى مواقع الاحتيال استنادًا إلى المواقع الجغرافية، مع التأكد من أنها تعمل فقط على أجهزة وأنظمة تشغيل معينة، وتقليل المدة التي تكون فيها الصفحات نشطة.
"تؤثر الحملة على علامات البريد في 53 دولة"، قالت Group-IB. "معظم الصفحات الاحتيالية المكتشفة تستهدف المستخدمين في ألمانيا (17.5٪)، بولندا (13.7٪)، إسبانيا (12.5٪)، المملكة المتحدة (4.2٪)، تركيا (3.4٪)، وسنغافورة (3.1٪)