حلل خبراء كاسبرسكي حملة حديثة من برمجية Zanubis، وهي برمجية خبيثة مصرفية من نوع حصان طروادة، معروفة بقدرتها على التنكر في هيئة تطبيقات مشروعة. كما سلّط تحليل الخبراء الضوء على أداة التشفير والتحميل (AsymCrypt) الحديثة، وأداة (Lumma) لسرقة البيانات. ويؤكد ذلك على الحاجة المتزايدة إلى الأمن الرقمي المعزز

ظهرت برمجية حصان طروادة المصرفية، Zanubis، للمرة الأولى في هواتف أندرويد في شهر أغسطس 2022، حيث استهدفت مستخدمي الخدمات المالية ومتداولي العملات المشفرة في دولة بيرو. فهي تخدع المستخدمين عبر التظاهر بأنها تطبيقات مشروعة في نظام أندرويد وتستدرج الضحايا لمنحها أذونات وصول تعطيها التحكم الكامل

ويبدو أن Zanubis تطوّرت بحلول شهر أبريل 2023، إذ ظهرت حينها متنكرة في هيئة التطبيق الرسمي لهيئة الجمارك البيروفية (SUNAT)، مما زاد الأمر تعقيدًا. إذ بمجرد حصول Zanubis على إذن للوصول إلى جهاز ما، تخدع البرمجية الضحية عن طريق تحميل موقع SUNAT الحقيقي عبر خاصية عرض الويب، مما يوحي بأنها مشروعة. كما تستعين Zanubis بأداة Obfuscapk، وهي أداة تمويه شائعة لتطبيقات APK الخاصة بنظام أندرويد، في إخفاء حقيقتها الخبيثة

تستخدم برمجية Zanubis بروتوكول WebSockets، ومكتبة تُسمى (Socket.IO) للتواصل مع خادم تحكمها. مما يسمح لها بالتأقلم والحفاظ على الاتصال حتى عند مواجهتها للمشاكل

وعلى عكس البرمجيات الخبيثة الأخرى، لا تستهدف Zanubis قائمة ثابتة من التطبيقات. حيث يمكن برمجتها عن بُعد لسرقة البيانات عندما تعمل تطبيقات معينة. كما تقوم البرمجية بإنشاء اتصال ثانٍ قد يمنح المجرمين السيطرة الكاملة على أجهزة الضحايا. والأسوأ من ذلك، أنه يمكنها تعطيل أجهزة الضحايا كليًا بحجة تحديث لنظام التشغيل أندرويد

موضوعات ذات صلة بما تقرأ الآن:

ومن اكتشافات فريق كاسبرسكي الأخرى هي أداة التشفير والتحميل (AsymCrypt) التي تستهدف محافظ العملات المشفرة، ويتم بيع هذه الأداة في المنتديات السرية عبر الإنترنت

إذ أظهر التحقيق أنها إصدار مطوَّر من أداة التحميل DoubleFinger يعمل بمثابة واجهة لخدمة شبكة تور (TOR). حيث يقوم المشترون بتخصيص طرق الحقن، والعمليات المستهدفة، ويخفون الحمولة الخبيثة في كائن ثنائي كبير (blob) مشفر داخل صورة بصيغة (png) يقومون بتحميلها في موقع لاستضافة الصور. ويؤدي تشغيل الأداة الخبيثة إلى فك تشفير الصورة، وبالنتيجة تنشيط الحمولة في الذاكرة

أدى تتبع كاسبرسكي للتهديدات السيبرانية أيضًا إلى الكشف عن أداة سرقة البيانات Lumma، التي تعد سلالة برمجيات خبيثة جارية التطور كانت Lumma تُعرف في السابق باسم (Arkei) وهي لا تزال تحتفظ بمجمل 46% من سماتها السابقة. فهي تتخفى وتنتشر على هيئة أداة تحويل ملفات من صيغة docx إلى pdf، ثم تقوم بتنشيط الحمولة الخبيثة عندما تحوّل الملفات التي يتم تحميلها عليها إلى ملفات بصيغة .pdf.exe.....

لقراءة المقال بالكامل، يرجى الضغط على زر "إقرأ على الموقع الرسمي" أدناه