لا تزال برمجية (Grandoreiro) الخبيثة تشكل تهديدًا كبيرًا للقطاع المالي العالمي، على الرغم الجهود المبذولة لوقف نشاطها، إذ كشف فريق البحث والتحليل العالمي (GReAT) في شركة كاسبرسكي عن ظهور إصدار جديد من هذه البرمجية يستهدف نحو 30 مؤسسة مالية في المكسيك.
ويأتي هذا التطور بعد اعتقال بعض من أهم مشغلي هذه البرمجية في بداية العام الجاري، وتُعدّ برمجية (Grandoreiro)، واحدة من أخطر التهديدات التي تواجه القطاع المصرفي، إذ تمثل نحو 5% من هجمات أحصنة طروادة المصرفية عالميًا.
وتُعدّ المكسيك واحدة من أكثر البلدان المستهدفة بمتغيرات برمجية (Grandoreiro) الخبيثة، بما يشمل الإصدار الجديد، إذ شهدت 51 ألف حادثة مسجلة هذا العام. وتؤكد هذه الأرقام الحاجة إلى يقظة مستمرة لمواجهة التهديدات المتطورة في عالم الجرائم الإلكترونية.
برمجية (Grandoreiro) الخبيثة.. تطور مستمر وتوسع جغرافي:
بدأتبرمجية (Grandoreiro) الخبيثة نشاطها في عام 2016، ومنذ ذلك الحين، استمرت في التطور والتوسع لتشمل العديد من البلدان حول العالم. وفي عام 2024 وحده، استهدفت هذه البرمجية أكثر من 1,700 مؤسسة مالية و276 محفظة للعملات المشفرة في 45 دولة، وذلك وفقًا لبيانات شركة كاسبرسكي.
وبعد مساعدة الإنتربول للسلطات البرازيلية لتتمكن من اعتقال مشغلي برمجية حصان طروادة المصرفية Grandoreiro، اكتشفت كاسبرسكي أن قاعدة المجموعة البرمجية قد قُسمت لإصدارات مجزأة أخف وزنًا من برمجية حصان طروادة لمواصلة هجماتها.
وقد تمكن تحليل حديث لفريق كاسبرسكي من تحديد إصدار جديد يركز بنحو خاص في المكسيك، إذ اُستخدم لاستهداف ما يقرب من 30 مؤسسةً ماليةً. ومن المرجح أن يتمكن صانعوا البرمجيات من الوصول إلى الكود المصدري وإطلاق حملات جديدة باستخدام الإصدارات المبسطة من البرمجيات الخبيثة القديمة.
وتعليقًا على ذلك، قال فابيو أسوليني، رئيس فريق GReAT في منطقة أمريكا اللاتينية في كاسبرسكي: “تؤكد كافة التطورات الأخيرة الطبيعة المتطورة للتهديد. وقد تمثل الإصدارات المجزأة الخفيفة الوزن توجهًا قابلًا للتمدد لما هو أبعد من المكسيك ويصل إلى مناطق أخرى تتجاوز أميركا اللاتينية. ومع ذلك، نعتقد أن زمرة من الجهات التابعة الموثوقة هي الوحيدة القادرة على الوصول إلى الكود المصدري للبرمجية الخبيثة لتطوير مثل هذه الإصدارات الخفيفة الوزن. وتعمل برمجية Grandoreiro الخبيثة بشكل مختلف عن النموذج التقليدي للبرمجيات الخبيثة كخدمة الذي اعتدنا عليه. فلن تجد إعلانات على المنتديات السرية تبيع حزمة برمجية Grandoreiro الخبيثة، بل أنها محدودة الوصول على ما يبدو”.
تقنيات جديدة ومبتكرة:
تشكل الإصدارات المتعددة من برمجية Grandoreiro الخبيثة، بما يشمل الإصدار الجديد من البرمجية الخبيثة، ما يقرب من 5% من هجمات حصان طروادة المصرفية العالمية التي اكتشفها كاسبرسكي في عام 2024، مما يجعلها واحدة من أكثر التهديدات نشاطًا في جميع أنحاء العالم.
كما قامت كاسبرسكي بتحليل العينات الأحدث من الإصدار الرئيسي من برمجية Grandoreiro الخبيثة لعام 2024، ولاحظت خطوات جديدة. إذ تقوم البرمجية بتسجيل نشاط الفأرة لمحاكاة أنماط المستخدم الحقيقية لتجنب الاكتشاف بواسطة أنظمة تحليل السلوك الأمنية القائمة على التعلم الآلي. ومن خلال إعادة تشغيل حركات الفأرة الطبيعية، تهدف البرمجية الخبيثة لخداع أدوات مكافحة الاحتيال لتصنف النشاط بأنه قانوني.
وبالإضافة إلى ذلك، اعتمدت برمجية Grandoreiro الخبيثة أسلوب تشفير يُعرف باسم سرقة النص المشفر (CTS)، الذي لم تسجل شركة كاسبرسكي استخدامه في برمجية خبيثة من قبل. وفي هذه الحالة، تهدف البرمجية الخبيثة إلى تشفير سلاسل الأكواد الخبيثة.
وأضاف أسوليني، قائلًا: “تتمتع برمجية Grandoreiro الخبيثة ببنية كبيرة ومعقدة، مما يسهل على الأدوات الأمنية أو المحللين اكتشاف كونها سلاسلها غير مشفرة. ويبدو أن هذا هو السبب الذي دفعهم إلى قديم هذه التقنية الجديدة بهدف تصعيب الكشف عن هجماتهم وتحليلها”.
وصايا خبراء كاسبرسكي:
للحماية من البرمجيات الخبيثة المالية، يوصي خبراء كاسبرسكي المؤسسات باتباع التعليمات التالية:
- فعّل سياسة الرفض الافتراضي لحسابات المستخدمين المهمة، وخاصةً تلك الموجودة في الأقسام المالية، مما يضمن حصر الوصول على موارد الويب المشروعة فقط.
- وفر تدريب الوعي بالأمن السيبراني للموظفين، وخاصة أولئك المسؤولين عن المحاسبة، مع التأكد من كونه يتضمن تعليمات حول كيفية اكتشاف صفحات التصيد الاحتيالي.
- استخدم حلول حماية لخوادم البريد الإلكتروني المزودة بقدرات مكافحة التصيد الاحتيالي مثل حل Kaspersky Security for Mail Server لتقليل فرصة الإصابة من خلال رسالة بريد إلكتروني تصيدية.
في حين يجب على المصارف تثقيف عملائها، ويُنصح الأفراد باتباع التعليمات التالية:
- تجنب الروابط أو المستندات المرفقة في الرسائل غير المتوقعة أو المشبوهة. واحذر من صفحات الويب، بدايةً من عنوان الويب الصحيح وانتهاءً بتفاصيل الواجهة.
- استخدم حلًا أمنيًا موثوقًا، مثل حل Kaspersky Premium، الذي يحمي الأصول الرقمية من مجموعة واسعة من التهديدات السيبرانية المالية.
- ثبت التطبيقات من مصادر موثوقة فقط.
- لا تمنح أذونات للتطبيقات قبل التأكد من تطابقها مع مجموعة مزايا هذه التطبيقات.
- ثبت أحدث التحديثات والإصلاحات لجميع البرمجيات المستخدمة.
وتجدر الإشارة إلى أن فريق (GReAT) قد سلط الضوء على برمجية Grandoreiro الخبيثة في النسخة السادسة عشرة من قمة المحللين الأمنيين (SAS)، المنعقدة حاليًا في بالي، وتستمر حتى يوم 25 من أكتوبر الجاري.