كتب : باسل خالد

كجزء من السلسلة المستمرة من هجمات طروادة على القطاع المصرفي في أمريكا اللاتينية، يلقي باحثو «إسيت» نظرة معمقة على Grandoreiro. يستهدف هجوم طروادة المذكور بشكل خاص المستخدمين في البرازيل والمكسيك وإسبانيا وبيرو. وتم توزيعه حصرياً من خلال البريد الإلكتروني العشوائي الضار، وبدأت مؤخرًا في استخدام مواقع ويب مزيفة تستغل أحداث جائحة فيروس كرورنا المستجد في العالم. ويظهرGrandoreiro  مدى الجهد المستمر من مبتكريه في التهرب من عمليات الكشف.

رصدت «إسيت» توزيع  Grandoreiro بشكل رئيسي من خلال البريد الإلكتروني الضار، ويستخدم مبتكروه عادةً تحديث Java أو  Flash  مزيف، ولوحظ مؤخراً تحولاً في عمليات الاحتيال ذات صلة بفيروس كورونا المستجد. وجد هجوم طروادة مختبئًا في مقاطع فيديو على مواقع ويب مزيفة تظهر معلومات حول فيروس كورونا. ويؤدي النقر على الفيديو إلى تنزيل حمولة ضارة على أجهزة الزائر.

نشط Grandoreiro منذ عام 2017 في البرازيل وبيرو، وتوسع في المكسيك وإسبانيا في العام 2019. كما هو الحال مع هجمات طروادة المصرفية في أمريكا اللاتينية الأخرى في هذه السلسلة، يهاجم Grandoreiro ضحاياه من خلال عرض نوافذ منبثقة مزيفة كحيلة لدفع ضحاياهم إلى إفشاء معلومات حساسة.

وظائف الباب الخلفي لـ Grandoreiro تشمل التلاعب بالنوافذ وتحديث نفسه والتقاط ضربات المفاتيح ومحاكاة إجراءات الفأرة ولوحة المفاتيح والتنقل في المتصفحات إلى عناوين الإنترنت URL المختارة وتسجيل الخروج وإعادة تشغيل الآلات ومنع الوصول إلى المواقع. يجمع Grandoreiro معلومات متنوعة حول الأجهزة المتأثرة، وفي بعض الإصدارات يسرق أيضًا بيانات الاعتماد المخزنة في "جوجل كروم" وكذلك البيانات المخزنة في متصفحات "مايكروسوفت آوتلوك".

من جهته قال روبرت سومان، الباحث في شركة «إسيت»، قائد فريق التحليل لـ Grandoreiro، وقال: "بالنسبة لهجمات طروادة المصرفية في أمريكا اللاتينية، يستخدم Grandoreiro عددًا كبيرًا من الحيل المدهشة للتهرب من الكشف والمضاهاة. يتضمن ذلك العديد من التقنيات للكشف عن برامج الحماية المصرفية أو القيام بتعطيلها. يبدو أنهم يطورون هجمات طروادة المصرفية بسرعة كبيرة. كل إصدار جديد نراه تقريبًا لديه بعض التغييرات. ونعتقد أيضًا أنهم يطورون متغيرين على الأقل في وقت واحد. ومن المثير للاهتمام- من وجهة نظر تقنية- أنهم يستخدمون تطبيقًا محددًا للغاية لتقنية الحشو الثنائي (binary padding) التي تجعل من الصعب التخلص من الحشو مع الاحتفاظ بملف صالح."

على عكس غالبية هجمات طروادة المصرفية في أمريكا اللاتينية، يستخدم Grandoreiro سلاسل توزيع صغيرة جدًا. وبالنسبة للحملات المختلفة، قد يختار نوعًا مختلفًا من التنزيل. غالبًا ما يتم تخزين برامج التنزيل هذه على خدمات مشاركة عامة مشهورة عبر الإنترنت مثل GitHub أو Dropbox أو Pastebin أو 4shared أو 4Sync.

الطرق الممكنة التي قد تظهر بها سلاسل توزيع Grandoreiro

ولمزيد من التفاصيل التقنية حول Grandoreiro، اقرأ المدونة "هجمات Grandoreiro: ما مدى الاحتقان الذي يمكن أن يحدث لملفات EXE؟"على موقع WeLiveSecurity.com. تأكد من متابعة أبحاث «إسيت»على تويتر للحصول على آخر الأخبار.