كشف أحدث تقرير عن برمجيات الجريمة لمركز الأبحاث الروسى كاسبرسكى، عن ثلاثة تهديدات خبيثة قادرة على سرقة البيانات والأموال وقام بتحليلها، وهي: أداة سرقة البيانات GoPIX، التى تستهدف نظام الدفع البرازيلى PIX، بالإضافة إلى أداة سرقة البيانات متعددة الوظائف Lumar، وسلالة برمجيات الفدية Rhysida، ومع استمرار نمو التهديدات السيبرانية ذات الدوافع المالية، يحث الخبراء المستخدمين على توخى الحذر الدائم.
كان أول تهديد تناوله التقرير هو GoPIX، وهو حملة خبيثة تعمل منذ ديسمبر 2022، وتركز على استهداف نظام الدفع PIX المستخدم على نطاق واسع في البرازيل.
تبدأ استراتيجية GoPIX عندما يبحث المستخدمون عن نسخة الويب من تطبيق واتس آب "WhatsApp web" في محرك البحث، إذ تستخدم الحملة إعلانات خادعة لاستدراج الضحايا.
كذلك تستخدم الحملة أداة مكافحة الاحتيال من منصة IP Quality Score لتمييز المستخدمين الحقيقيين عن الروبوتات، وتقدم خياري تحميل استناداً إلى حالة المنفذ 27275 المرتبط ببرنامج حماية الخدمات المصرفية Avast Safe Banking.
صُممت هذه البرمجية الخبيثة لسرقة بيانات المعاملات المصرفية والتلاعب بها، وهي مرنة في تنفيذ مراحل مختلفة والاستجابة للأوامر الصادرة عن خادم القيادة والتحكم (C2).
أما أداة سرقة البيانات متعددة الوظائف Lumar، فقد استعرضها مستخدم يُدعى Collector لأول مرة في يوليو 2023.
وتتمتع الأداة بإمكانات هائلة منها تسجيل جلسات المستخدمين على تطبيق تليجرام، وجمع كلمات المرور، وملفات تعريف، وبيانات الملء التلقائي، مع استرداد الملفات من آلات الحاسوب للمستخدمين، واستخراج البيانات من مختلف محافظ العملات المشفرة.
بالمقابل تتميز أداة Lumar بحجمها الصغير الناتج عن برمجتها بلغة C، ولو أن هذا الحجم الصغير لا يحد من قدراتها، فبمجرد تشغيلها، تقوم أداة Lumar بجمع معلومات النظام وبيانات المستخدم، ثم ترسلها إلى خادم قيادة وتحكم (C2).
وتستفيد عملية جمع البيانات هذه من استخدام ثلاثة خيوط معالجة منفصلة، يستضيف مطور أداة Lumar خادم قيادة وتحكم خاصاً به ويعامله كمزود برمجيات خبيثة كخدمة (MaaS)، ويوفر هذا الخادم ميزات تسهل الاستخدام مثل التحليلات وسجلات البيانات.
ويمكن للمستخدمين تحميل أحدث إصدار من أداة Lumar وتلقى إشعارات على تطبيق تليجرام عن البيانات الواردة.
دخلت برمجية الفدية Rhysida حديثاً على ساحة برمجيات الفدية كخدمة (RaaS)، إذ اكتشفتها قراءات كاسبرسكي في شهر مايو، وتتميز هذه البرمجية باستخدامها آلية حذف ذاتي فريدة، كما أنها تتوافق مع إصدارات أنظمة التشغيل السابقة لنظام ويندوز 10.
