«Grandoreiro».. «وحش خفي» يهدد القطاع المالي العالمي
رغم الاعتقالات التي طالت بعضا من أبرز مشغلي برمجية "Grandoreiro" الخبيثة في مطلع 2024، فإنها لا تزال تشكل تهديدا واسع النطاق.
اكتشف فريق البحث والتحليل العالمي (GReAT) في كاسبرسكي إصدارا جديدا من البرمجية يركز على المكسيك ويستهدف نحو 30 مصرفا.
تهديد عالمي مستمر
تعد "Grandoreiro" واحدة من أكثر البرمجيات الخبيثة نشاطا وانتشارا على مستوى العالم، ووفقا لتقارير كاسبرسكي فإن هذه البرمجية تمثل نحو 5% من جميع هجمات "أحصنة طروادة المصرفية" هذا العام.
المكسيك، على وجه الخصوص، تعتبر واحدة من أكثر البلدان استهدافا من قبل متغيرات "Grandoreiro"، حيث سجلت 51000 حادث أمني يتعلق بهذه البرمجية الخبيثة خلال العام الجاري.
تاريخ النشاط
بدأت برمجية Grandoreiro نشاطها الخبيث عام 2016، ومنذ ذلك الحين توسع نطاق أهدافها بشكل متزايد، حيث استهدفت في خلال العام الجاري أكثر من 1700 مؤسسة مالية و276 محفظة للعملات المشفرة في 45 دولة وإقليما.
كما أضافت البرمجية كلاً من آسيا وأفريقيا إلى قائمة المناطق المستهدفة، ما يجعلها تهديدا عالميا حقيقيا في القطاع المالي.
تطور البرمجية
في عام 2024 تعاونت السلطات البرازيلية مع الإنتربول لاعتقال عدد من مشغلي البرمجية، ورغم هذه الضربة الكبيرة لشبكة البرمجية الخبيثة، فإن كاسبرسكي لاحظت أن قاعدة المجموعة البرمجية تطورت، إذ تم تقسيمها إلى إصدارات مجزأة أخف وزنا.
ويبدو أن هذه الخطوة كانت تهدف إلى استمرار الهجمات بتكتيكات جديدة، مع الحفاظ على مرونة أكبر في استهداف القطاعات المالية المختلفة.
الإصدار الجديد في المكسيك
أظهر التحليل الأخير لبرمجية Grandoreiro أن الإصدار الجديد يركز بشكل كبير على المكسيك، مستهدفا نحو 30 مؤسسة مالية، ما يشير إلى أن صانعي البرمجية يمتلكون الوصول إلى الكود المصدري، ما يمكنهم من تعديل النسخ وإطلاق حملات جديدة تستهدف مؤسسات مالية مختلفة في جميع أنحاء العالم.
التحليل والتوقعات
بحسب خبراء كاسبرسكي من المتوقع أن يستمر صانعو برمجية Grandoreiro في تطوير إصدارات مبسطة من البرمجيات الخبيثة القديمة، ما يسهل عليهم إطلاق حملات مركزة على دول ومناطق بعينها.
في هذا السياق، يظل القطاع المالي في المكسيك عرضة لخطر مستمر، في حين قد تمتد الهجمات إلى دول ومناطق أخرى إذا لم يتم اتخاذ التدابير الأمنية المناسبة.
أكد فابيو أسوليني، رئيس فريق البحث والتحليل العالمي (GReAT) لمنطقة أمريكا اللاتينية، أن التطورات الأخيرة لبرمجية Grandoreiro الخبيثة تكشف عن طبيعتها المتطورة بشكل كبير، موضحا أن الإصدارات الجديدة والمجزأة من البرمجية تمثل اتجاها قابلا للتمدد يتجاوز المكسيك وقد يمتد لمناطق خارج أمريكا اللاتينية.
ولفت أسوليني إلى أن زمرة محدودة من الجهات التابعة فقط هي القادرة على الوصول إلى الكود المصدري للبرمجية، ما يمنحهم القدرة على تطوير نسخ خفيفة من البرمجية تظل خارج إطار البرمجيات الخبيثة التقليدية المعروضة للبيع في المنتديات السرية.
هجمات حصان طروادة المصرفية
تشير تقارير كاسبرسكي إلى أن الإصدارات المتعددة من برمجية Grandoreiro الخبيثة، بما في ذلك الإصدار الجديد لعام 2024، تمثل نحو 5% من هجمات حصان طروادة المصرفية المكتشفة على مستوى العالم هذا العام، ما يجعل Grandoreiro واحدة من أكثر البرمجيات الخبيثة نشاطا وانتشارا عالميا، حيث تم رصد تطورات ملحوظة في أساليب الهجوم.
تقنية متطورة
كشف خبراء كاسبرسكي أن النسخة الجديدة من برمجية Grandoreiro تتبع أساليب متقدمة للتحايل على أدوات مكافحة الاحتيال، من بينها تسجيل نشاط الفأرة لمحاكاة أنماط المستخدم الطبيعية، ما يساعد البرمجية على تجنب الاكتشاف بواسطة أنظمة تحليل السلوك الأمنية المعتمدة على تعلم الآلة، لخداع الأدوات الأمنية لتصنيف النشاط كأنه قانوني وليس هجوما خبيثا.
استخدم الإصدار الأخير من برمجية Grandoreiro أسلوب تشفير يُعرف باسم سرقة النص المشفر (CTS)، وهو أسلوب جديد لم تسجل كاسبرسكي استخدامه من قبل في أي برمجية خبيثة أخرى، بهدق تشفير سلاسل الأكواد الخبيثة، ما يزيد من تعقيد عملية تحليلها واكتشافها بواسطة المحللين والأدوات الأمنية.
وأكد أسوليني أن الهيكل المعقد للبرمجية كان سببا في استخدام هذه التقنية، حيث يجعلها أصعب في الاكتشاف والتحليل.
تحديات مكافحة التهديدات السيبرانية
مع استمرار تطور برمجية Grandoreiro الخبيثة وتبنيها تقنيات جديدة يشير خبراء الأمن السيبراني إلى ضرورة تعزيز الإجراءات الوقائية واستخدام أدوات أمنية متقدمة تعتمد على الذكاء الاصطناعي وتقنيات التشفير للكشف المبكر عن التهديدات، ويتوقع أن تستمر هذه البرمجية في الانتشار إلى أسواق جديدة، ما يشكل تحديات إضافية للمؤسسات المالية حول العالم.
aXA6IDE4LjExOS4xMzMuMjA2IA==
جزيرة ام اند امز
