الغش مع فيروس CamuBot يستخدم أسماء البنوك ويجعل الضحايا في البرازيل

هاجم فيروس مصرفي جديد عملاء الشركات من المؤسسات المالية في البرازيل. يقوم CamuBot ، كما يطلق عليه البرنامج الضار ، بتمويه نفسه كوحدة أمان مطلوبة من قبل البنك المستهدف بالهجوم ويخدع الضحية لسرقة أوراق اعتماده المصرفية.

تم الكشف عن أول نشاط للبرامج الضارة الشهر الماضي وتم الكشف عن ذلك من قبل باحثي IBM X-Force يوم الثلاثاء الماضي (4). ومنذ ذلك الحين ، استهدف المجرمون الهجمات على الشركات الخاصة والمنظمات العامة. على عكس معظم أحصنة طروادة المصرفية ، لا يختبئ CamuBot في النظام. الفيروس ، بالإضافة إلى استخدام شعار البنك ، له نفس مظهر الخدمات المصرفية عبر الإنترنت ، مما دفع الضحية إلى الاعتقاد بأنه يقوم بتثبيت تطبيق رسمي.

يستخدم 1 من 3 فيروس CamuBot مخططًا معقدًا لسرقة التفاصيل المصرفية في البرازيل – الصورة: Pond5

يستخدم فيروس CamuBot مخططًا متطورًا لسرقة التفاصيل المصرفية في البرازيل – الصورة: Pond5

تريد شراء الهواتف المحمولة والتلفزيون ومنتجات مخفضة أخرى؟ اكتشف قارن TechTudo

ووفقًا للمحققين ، فإن CamuBot أكثر تعقيدًا بكثير من البرامج الضارة المستخدمة في مخططات الاحتيال في البلاد حتى الآن. “بدلاً من الشاشات المزيفة البسيطة وأداة الوصول عن بُعد ، تشبه تكتيكات CamuBot تلك التي تستخدمها البرامج الضارة المصنعة في أوروبا الشرقية ، مثل TrickBot أو Dridex أو QakBot” ، شرح الخبراء في منشور على موقع IBM على الويب.

افهم كيف يعمل الهجوم

تنطوي عملية الخداع على أدوات هندسة اجتماعية معقدة للغاية. في البداية ، يحدد مشغلو CamuBot ، من خلال مسح أساسي ، الشركات التي تتعامل مع المؤسسة المصرفية المستهدفة. ثم يتصلون بالشخص الذي من المحتمل أن يكون لديه أوراق اعتماد الحساب المصرفي للشركة.

من خلال التظاهر كموظفين في البنك ، يخدع المجرمون الضحية لزيارة موقع ويب مزيف للتحقق مما إذا كانت وحدة الأمان محدثة. كجزء من الفخ ، يظهر التحقق من الصلاحية بشكل سلبي ، ويوصي مشغلو الفيروسات بتنزيل وتثبيت وحدة “جديدة” لحل المشكلة.

2 من 3 متخفيًا كوحدة أمان ، يتطلب CamuBot امتيازات المسؤول كشرط مسبق للتثبيت – الصورة: الإفشاء / IBM X-Force

متنكرًا في شكل وحدة أمان ، يتطلب CamuBot امتيازات المسؤول كشرط مسبق للتثبيت – الصورة: الإفشاء / IBM X-Force

يعمل CamuBot على كمبيوتر الضحية بمجرد أن يبدأ التثبيت ، خلف واجهة التطبيق المزيفة. للتغلب على برامج مكافحة الفيروسات وجدران الحماية وتبدو آمنة ، تضيف البرامج الضارة ، التي تتمتع بامتيازات المسؤول ، نفسها إلى قائمة البرامج المعتمدة. بالإضافة إلى ذلك ، يتغير اسم الملف الذي تم تنزيله وعنوان URL لموقع الويب مع كل هجوم.

بعد التثبيت ، تتم إعادة توجيه المستخدم إلى موقع ويب للتصيد الاحتيالي يبدو كمدخل مصرفي عبر الإنترنت. يكتمل الهجوم عندما يقوم الضحية بتسجيل الدخول إلى حسابه المصرفي ، وتسليم أوراق اعتماده إلى المهاجم دون علم.

3 من 3 أثناء اكتمال تثبيت وحدة الحماية المزيفة ، يستقر الفيروس على كمبيوتر الضحية – الصورة: الإفشاء / IBM X-Force

أثناء اكتمال تثبيت وحدة الحماية المزيفة ، يستقر الفيروس على كمبيوتر الضحية – الصورة: الإفشاء / IBM X-Force

هناك اختلاف آخر مثير للقلق في CamuBot هو إمكانية التحايل على المصادقة البيومترية ، وهي ميزة حماية تعتبر موثوقة. وفقًا لـ IBM X-Force ، فإن الفيروس قادر على البحث عن برامج التشغيل وتثبيتها لأجهزة المصادقة المكونة من خطوتين ، مما يدفع الضحايا إلى تنشيط الوصول عن بُعد. وهذا يسمح للمهاجم باعتراض كلمات المرور لمرة واحدة وإجراء معاملات احتيالية دون إثارة الشك لدى البنك.

يستهدف CamuBot حاليًا أصحاب حسابات الشركات في البرازيل. أثناء بث الهجوم عبر الهاتف ، اتصل بالمكالمات المشتبه فيها واطلب من المتصل المزعوم للبنك الاتصال بك مرة أخرى. ثم اتصل بالمصرف الذي تتعامل معه بالرقم الموجود على بطاقتك وأخبره بالمكالمة غير المرغوب فيها.

حتى الآن ، لم يكتشف محققو IBM X-Force هجمات CamuBot خارج الدولة ، لكنهم يحذرون من أن هذا قد يتغير.