کمپین بدافزار بانکی فیشینگ اس ام اس مدوزا

webiyan فوریه 9, 2022 0 Comments
VPNoverview.com

یک گزارش جدید اطلاعاتی تهدید در فوریه 2022 با عنوان «شرکای جنایتکار: مدوسا و کاباسوس به بانک‌ها حمله می‌کنند در کنار هم» که توسط اطلاعات امنیت سایبری ThreatFabric منتشر شده است، نشان‌دهنده کمپین‌های حملات بدافزار «متهم» است. این به عنوان فیشینگ پیامکی مهندسی شده اجتماعی شناخته می شود. به نظر می رسد کمپین هایی با انگیزه مالی مانند این در حال حاضر مرسوم هستند، که در مورد آخوندک رومینگ مشهود است.

دوتایی پویا Cabassous، که با نام FluBot نیز شناخته می شود، و تازه وارد مدوسا، دستگاه ها را در سطح جهانی در معرض خطر قرار می دهند و برنامه های مختلف بانکی اندروید را مورد هدف قرار می دهند و در نتیجه به "کلاهبرداری در دستگاه." حتی نگران‌کننده‌تر، کمپین‌های حمله بدافزار به گونه‌ای در حال تکامل هستند که شامل قابلیت‌هایی می‌شوند که قبلاً دیده نشده‌اند، و نشانه‌هایی مبنی بر توقف به این زودی نشان نمی‌دهند. بدافزار smishing بدنام که تقریباً یک سال است به طور فعال در کمپین های مختلف توزیع می شود. از سرورهای حمله فرمان و کنترل C2 برای جمع‌آوری داده‌های کاربر مانند مخاطبین و ربودن دستگاه‌ها استفاده می‌کند.

علاوه بر این، ThreatFabric اکنون یک بدافزار بانکی جدید را ردیابی کرده است که شاخک‌های خود را به نام Medusa می‌کشد و اکنون از طریق همان SMiShing توزیع می‌شود. خدمت به عنوان Cabassous. این کار بر روی مسیر موفقیت آمیز FluBot از جنایات سایبری جهانی ساخته شده است. کمپین‌های کوبنده به‌عنوان Flash Player و DHL برای فریب دادن قربانیان، در میان دیگران، پنهان شده‌اند. شواهدی که نشان می‌دهد این دو در کنار هم کار می‌کنند این است که مدوزا از «نام برنامه‌ها، نام بسته‌ها و نمادهای مشابه» با FluBot استفاده می‌کند.

هر دو نوع دارای چندین ویژگی پیچیده مانند شنود اعلان‌ها، keylogging، عملکردهای RAT، و صدا و صدا هستند. ربودن ویدیو این ترکیب خطرناک اساساً به مهاجم اجازه می‌دهد پس از به خطر افتادن یک برنامه بانکی Android، کنترل کاملی داشته باشد. تا آنجایی که به FluBot مربوط می شود، چهار نفر در بارسلونا، اسپانیا در مارس 2021 دستگیر شدند، اما باند بدافزار FluBot همچنان در سراسر جهان به رشد خود ادامه می دهد. در حال تکامل پس از دریافت به‌روزرسانی بزرگ «که تونل‌سازی DNS را از طریق سرویس‌های عمومی DNS-over-HTTPS معرفی کرد»، FluBot اکنون در آخرین نسخه، 5.4، در سطح دیگری قرار دارد. این یک به‌روزرسانی است که «قابلیت جدیدی را که قبلاً در بدافزار بانکداری تلفن همراه دیده نشده بود» اضافه می‌کند. این قابلیت از ویژگی «پاسخ مستقیم Android Nougat» که به مهاجمان اجازه می‌دهد اعلان‌ها را روی دستگاه قربانی دستکاری کنند، سوء استفاده می‌کند. با یک «موتور اسکریپت نویسی دسترس‌پذیری» که از سرویس دسترس‌پذیری Android استفاده می‌کند تا به مهاجمان اجازه دهد کنترل برنامه‌ها را در دست بگیرند و اقداماتی را روی دستگاه قربانی انجام دهند. در نتیجه، دستگاه قربانی می تواند توسط یک مهاجم خارجی هم نظارت و هم کنترل شود.

احراز هویت چند عاملی دیگر عاملی نیست؟ فرآیندهای مجوز چند عاملی کاربر را به خطر بیندازد.

« تکامل خانواده‌های بدافزار نشان می‌دهد که تکنیک‌های 2FA ممکن است برای اطمینان از مبدا تراکنش کافی نباشد. به TI عمیق‌تر در ترکیب با راه‌حلی نیاز دارد که قادر به تشخیص رفتار مخرب در دستگاه‌های مشتریان باشد.»

توزیع بدافزار و برنامه‌های هدفمند

ThreatFabric تأیید کرد که ۱۷۸۴ دستگاه با موفقیت در ۲ روز، تنها در ۲ روز، به Medusa آلوده شدند. اخیراً در ایالات متحده، کانادا و ترکیه. 27 برنامه بانکی ایالات متحده، 17 برنامه بانکی اسپانیایی و 15 برنامه بانکی ترکیه به عنوان هدف کمپین ها تأیید شدند. همچنین، اهداف برای FluBot و Medusa کمی متفاوت است. فهرست‌های رسمی در گزارش ThreatFabric شامل ده‌ها مورد است.

اهداف مدوزا. Bank of America Mobile Banking، Wells Fargo Mobile، Amex، BBVA اسپانیا، Halkbank Mobil، HSBC Turkiye.

FluBot’s targets; Bankwest، Coinbase، Bank of Scotland Mobile Banking، Suncorp Bank، Kiwibank Mobile Banking، Emirates NBD، HSCB Australia.

برای کمک بیشتر و آخرین اطلاعات تهدید در مورد بدافزار تلفن همراه، ThreatFabric را می‌توانید در اینجا ببینید.