حملات بدافزاری Grandoreiro و BTMOB علیه کاربران ویندوز و اندروید

کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی دو کارزار جدید بدافزاری خبر داده‌اند که کاربران ویندوز و اندروید در اروپا و آمریکای لاتین را هدف قرار داده‌اند.

به گزارش کمیته رکن چهارم، شرکت‌های امنیتی WatchGuard و ESET اعلام کردند بدافزارهای بانکی Grandoreiro و BTMOB در حملات اخیر علیه شرکت‌ها و کاربران در اسپانیا، پرتغال، مکزیک و برزیل مورد استفاده قرار گرفته‌اند.

طبق این گزارش، کارزار Grandoreiro بانک‌های پرتغال را هدف قرار داده و از تکنیک DLL Side-Loading برای اجرای فایل‌های مخرب استفاده می‌کند. پژوهشگران اعلام کردند مهاجمان از چهار نرم‌افزار مختلف برای بارگذاری DLLهای آلوده سوءاستفاده کرده‌اند. این بدافزار که از سال ۲۰۱۶ فعال است، توانایی سرقت اطلاعات بانکی و اعتبارنامه‌های مرتبط با هزاران مؤسسه مالی در ده‌ها کشور را دارد و معمولاً از طریق ایمیل‌های فیشینگ منتشر می‌شود.

WatchGuard اعلام کرد نسخه‌های جدید Grandoreiro با زبان Delphi 11 توسعه یافته‌اند و برخی از DLLهای آن حاوی کتابخانه‌هایی برای ارتباطات WebSocket و ارتباطات همتابه‌همتا هستند.

در سوی دیگر، بدافزار اندرویدی BTMOB از طریق وب‌سایت‌های جعلی که خود را به‌عنوان سرویس‌های استریم یا استخراج رمزارز معرفی می‌کنند منتشر می‌شود. کاربران پس از ورود به این صفحات، به نسخه‌های جعلی Google Play هدایت شده و فایل APK آلوده را نصب می‌کنند.

پس از نصب، BTMOB درخواست دسترسی به سرویس Accessibility اندروید را مطرح می‌کند و سپس بدون نیاز به تعامل کاربر، دسترسی‌های بیشتری را در سیستم فعال می‌سازد. این بدافزار قادر است اطلاعات بانکی، داده‌های شخصی و فعالیت‌های کاربران را سرقت کند.

پژوهشگران می‌گویند BTMOB به‌عنوان جانشین CraxsRAT و CypherRAT شناخته می‌شود و اکنون در قالب مدل «بدافزار به‌عنوان سرویس» فروخته می‌شود. هزینه اشتراک ماهانه آن حدود ۷۰۰ دلار اعلام شده و نسخه کامل سرور فرماندهی و کنترل نیز با قیمت ۷۰۰۰ دلار عرضه می‌شود.

شرکت ESET هشدار داده انتشار نسخه‌های افشاشده این بدافزار در انجمن‌های زیرزمینی و کانال‌های تلگرام، احتمال سوءاستفاده توسط مهاجمان کم‌تجربه‌تر را افزایش داده است.

پیش‌زمینه

در سال‌های اخیر، بدافزارهای بانکی آمریکای لاتین به‌طور گسترده‌تری کاربران خارج از این منطقه را هدف قرار داده‌اند. مهاجمان با استفاده از مدل MaaS و فروش ابزارهای آماده، امکان اجرای حملات پیچیده را برای گروه‌های مختلف فراهم کرده‌اند.

جمع‌بندی

کارشناسان امنیتی هشدار می‌دهند گسترش مدل‌های «بدافزار به‌عنوان سرویس» و افشای کدهای منبع این ابزارها، تهدید حملات بانکی علیه کاربران ویندوز و اندروید را افزایش داده است. به کاربران توصیه شده از نصب برنامه‌ها از منابع ناشناس خودداری کرده و دسترسی‌های حساس مانند Accessibility را فقط برای برنامه‌های معتبر فعال کنند.

منبع: The Hacker News