هجمات خبيثة تستهدف حسابات بنكية عبر ويندوز وأندرويد

تواجه مناطق واسعة في أوروبا وأمريكا اللاتينية موجة جديدة من برمجيات خبيثة متطورة، تستهدف مستخدمي أنظمة ويندوز وأندرويد بهدف سرقة البيانات والحسابات البنكية الحساسة.

كيف تعمل البرمجيات الخبيثة لاختراق ويندوز وأندرويد؟

وفقاً لأحدث التقارير الأمنية التي راقبها فريق تيكبامين، تم رصد عائلتين خطيرتين من البرمجيات الضارة، وهما Grandoreiro و BTMOB، حيث تقومان بحملات منظمة لاختراق الأجهزة.

وتركز هذه الهجمات المعقدة بشكل أساسي على اختراق شبكات الشركات في إسبانيا، والبرتغال، والمكسيك، إلى جانب استهداف مستخدمي الهواتف المحمولة في البرازيل.

وتعتمد حملة Grandoreiro على تقنية خطيرة تُعرف باسم "التحميل الجانبي لملفات DLL"، حيث تقوم باستغلال أربعة برامج شرعية مختلفة لتنفيذ أكوادها الضارة دون إثارة تنبيهات برامج الحماية.

ما هي البنوك والمؤسسات المالية المستهدفة؟

تُعد برمجية Grandoreiro من التهديدات القديمة والنشطة بقوة منذ عام 2016، وهي عبارة عن فيروس بنكي يتطور باستمرار لسرقة بيانات الاعتماد.

وتشير الإحصائيات إلى قدرة هذه البرمجية على استهداف آلاف المؤسسات المالية المتواجدة في أكثر من 45 دولة حول العالم، مما يجعلها خطراً عالمياً حقيقياً.

أبرز الجهات المستهدفة في الحملة الأخيرة:

• بنوك إقليمية كبرى في البرتغال مثل بنك Santander وبنك Abanca.
• مؤسسات مالية رسمية مثل البنك المركزي البرتغالي (Banco de Portugal) و Caixa Geral Depositos.
• منصات التكنولوجيا المالية وتطبيقات تحويل الأموال العالمية مثل Revolut و Wise.

ما التقنيات المستخدمة لتجاوز الحماية الأمنية؟

على الرغم من محاولات السلطات البرازيلية لتفكيك البنية التحتية لهذه العصابات في أوائل عام 2024، إلا أن البرمجيات الخبيثة واصلت توسيع نطاق استهدافها.

وقد أضاف المهاجمون ميزات جديدة ومبتكرة، مثل دمج آليات لتجاوز اختبارات CAPTCHA، مما يجعل عملية تحليل الفيروس وتتبعه أكثر صعوبة على الباحثين الأمنيين.

وتستخدم الحملة الحديثة ملفات DLL تمت برمجتها باستخدام لغة Delphi 11، وهي لغة برمجة مفضلة لدى قراصنة الإنترنت الذين يستهدفون هذه المناطق الجغرافية.

أبرز الأدوات والبروتوكولات المستخدمة في الهجوم:

• استخدام ملفات libwebp.dll و mingwm10.dll التي تدمج مكتبات sgcWebSockets للاتصال الفوري.
• استغلال بروتوكول STUN لاكتشاف عناوين IP العامة وتسهيل الاتصال المباشر من نظير إلى نظير (P2P).
• الاعتماد على ملفات أخرى مثل libffi-6.dll و libpng15.dll باستخدام بروتوكول ICE لتحقيق استقرار في الاتصال الخفي.
• استخدام حركة مرور مؤتمرات الويب (WebRTC) لإخفاء نقل البيانات، نظراً لأن هذه الحركة تكون مزدحمة وصعبة المراقبة أمنياً.

كيف يتم توزيع هذه الهجمات الاحتيالية؟

توضح التحليلات أن قراصنة الإنترنت يعتمدون بشكل شبه كامل على رسائل البريد الإلكتروني الاحتيالية (التصيد الاحتيالي) كطعم أولي للإيقاع بالضحايا.

حيث تقوم هذه الرسائل بخداع المستخدمين وإقناعهم بالنقر على روابط مشبوهة تؤدي إلى تحميل الفيروسات البنكية مباشرة على أجهزتهم.

كما رصد خبراء تيكبامين حملة موازية تستخدم رسائل بريد إلكتروني تحتوي على ملفات ZIP مضغوطة ومستضافة على منصات مشاركة الملفات مثل Mediafire.

تحتوي هذه الملفات المضغوطة على نصوص Visual Basic مشفرة ومخفية، وهي مسؤولة عن إطلاق باقي السلسلة الهجومية فور فتحها، مما يستدعي الحذر الشديد.

كيف تحمي جهازك من البرمجيات الخبيثة؟

لحماية أنظمة ويندوز وهواتف أندرويد من هذه التهديدات المتصاعدة، يوصي الخبراء بتحديث أنظمة التشغيل والتطبيقات البنكية بشكل دوري ومستمر.

كما يجب تجنب تحميل أي تطبيقات من خارج المتاجر الرسمية، وعدم التفاعل مطلقاً مع رسائل البريد الإلكتروني التي تطلب تحديث بيانات الحساب البنكي أو تحتوي على روابط ومرفقات مجهولة المصدر.