برامج تروجان المصرفية الأربعة الخطيرة

إن تروجان المصرفية مثل الفئران؛ وذلك لأنك بمجرد أن تركل سلة المهملات فإن ستةً منها سوف تنطلق مهرولةً في كل اتجاه، وسوف تقرأ عنها مرةً واحدة، ولن تقرأ عنها مرةً

إن تروجان المصرفية مثل الفئران؛ وذلك لأنك بمجرد أن تركل سلة المهملات فإن ستةً منها سوف تنطلق مهرولةً في كل اتجاه، وسوف تقرأ عنها مرةً واحدة، ولن تقرأ عنها مرةً أخرى أبدًا. ولكن، توجد أربعة أنواع خطيرة يبدو أنها لن تغادر أو ترحل أبدًا، و هي: Carberp – Citadel – SpyEye – وخاصةً Zeus.

 

إنه أمرٌ صعبٌ بعض الشيء، أن تكتب قصةً مقنعةً ومؤثرةً عن عددٍ قليلٍ من برامج تروجان المصرفية المختلفة، مع المعرفة التامة بأنها جميعًا تقوم أساسًا بالشيء ذاته، ولكن مع ذلك سيتم هنا سرد ملخصٍ للأربعة الأكثر إنتاجًا في ترتيبٍ تنازليٍّ تقريبيٍّ من حيث سوء السمعة.من الناحية الدلالية اللغوية، تكون المشكلة مع تسمية هذه الأشياء بتروجان هي أننا أحيانًا نضبطها وهي تقوم بأشياء أخرى سيئة، ليست لها علاقة بسرقة المعلومات المالية؛ إنه أمرٌ غامضٌ للغاية في أدنى مستوى للجريمة الإلكترونية ذات السمعة السيئة، ولكن بصرف النظر عن الدلالات، تُمَثِّل كل قطعةٍ من هذه البرامج الخبيثة مشكلةً حقيقية، وهي: أن هذه البرامج تُعَد سلعةً كريهةً وملعونةً في السرقة عبر الإنترنت، بالإضافة إلى سرقة المعلومات المصرفية الأخرى.

Carberp

لقد كان الإصدار الأصلي لـ Carberp تروجان نموذجيًّا نوعًا ما. وقد صُمِّمَ هذا البرنامج لسرقة البيانات الحساسة للمستخدمين؛ مثل أوراق اعتماد الخدمات المصرفية عبر الإنترنت، أو تركيبات اسم المستخدم، أو كلمة المرور الخاصة بالمواقع الأخرى ذات القيمة العالية. ويقوم Carberp بإعادة إرسال المعلومات التي سرقها إلى خادم القيادة والسيطرة، الذي يخضع لقيادةٍ أخرى. وبطريقةٍ سهلةٍ ومباشرة، كان العنصر الخادع والمعقد فقط هو الأداء الوظيفي الخفي، والمُعَقَّد الذي يسمح لتروجان بأن يظل غير مُلاحَظٍ على نظام الضحية. وقد أضاف الجيل التالي من Carberp بعض المكونات الإضافية، والتي منها: أن يقوم أحدهما بإزالة البرامج المكافحة للبرامج الخبيثة من الأجهزة المُصَابَة، والآخر يحاول أن يقتل ويبيد القطع الأخرى من البرامج الخبيثة إذا كانت موجودة.

وتصبح الأحداث مثيرةً للاهتمام بشكلٍ أكبر، عندما يقوم المشرفون عليها بإعطاء تروجان الخاص بهم القدرةَ على تشفير البيانات المسروقة، أثناء مرورها بين الأجهزة المُصَابَة وخادم القيادة والسيطرة التابع لها؛ وطبقًا للباحثين، يُمَثِّل Carberp الحالة الأولى التي قام فيها أحد البرامج الخبيثة باستخدام رسالةٍ مُشَفَّرَةٍ بترميزاتٍ تم إنشاؤها بشكلٍ عشوائيٍّ بدلًا من استخدام مفتاحٍ ثابت.

عند نقطةٍ معينة، يبدأ Carberp في العمل في الظروف والأوضاع التي تتميز بأدوات استغلال الفراغ الكبير (الثقب الأسود) الأسوأ سمعة؛ حيث يعمل على توليد زيادةٍ هائلةٍ في عدد الإصابات. إن كل الأمور كانت تسير على ما يرام بالنسبة لـ Carberp ومصمميه، حتى أنهم قد نجحوا في تطوير نموذج Carberp على موقع التواصل الاجتماعي (فيس بوك)، الذي حاول بدوره أن يخدع المستخدمين ويدفعهم لتسليم القسائم النقدية الإلكترونية، كجزءٍ من عملية احتيالٍ لانتزاع الفدية.

وطبقًا للباحثين، يُمَثِّل Carberp الحالة الأولى التي قام فيها أحد البرامج الخبيثة باستخدام رسالةٍ مُشَفَّرَةٍ بترميزاتٍ تم إنشاؤها بشكلٍ عشوائيٍّ بدلًا من استخدام مفتاحٍ ثابت.

ومن هنا، سارت الأمور إلى وضعٍ متدهورٍ قليلًا؛ حيث اعتقلت السلطات الروسية ثمانية رجالٍ يُعتَقَد أنهم مسؤولون عن التحكم في البرامج الخبيثة، إلا أن Carberp لم يمت؛ فمنذ ذلك الحين لم يكن هناك أي نقصٍ في محاولات التخريب والاعتقالات. وعند نقطةٍ معينة، يسعى المجرمون إلى نَشْر الأداة التي ستضطر من يريدها إلى دفع 40.000 دولار من أجل الوصول إليها، وكان يحدث ذلك إلى أن تم إطلاق شفرة المصدر الخاص بها في العام الماضي، وبذلك تم إعطاء الجميعـ- تقريبًا – ما يكفي من الدراية والمعرفة التي تُمَكِّنهم من الوصول إلى تروجان.

Citadel

يُعَد برنامج تروجان الذي يُدعَى Citadel شكلًا مختلفًا لمَلِك البرامج الخبيثة المالية Zeus؛ حيث اشتهر هذا البرنامج جنبًا إلى جنبٍ مع عددٍ آخر من برامج تروجان الفريدة، بعد أن تَسَرَّبَت شفرة المصدر الخاصة ببرنامج تروجان Zeus في عام 2011. ويتميز مبدئيًّا برنامج Citadel بأن لديه الكثير ليفعله، مع الأسلوب غير المألوف والمُتَّبَع من قِبَل المُنشِئ لفتح نموذج تطوير المصدر المفتوح، الذي يسمح لأي شخصٍ بمراجعة شفرته وإدخال التعديلات عليه (مما يزيد الأمر سوءًا).

لقد قامت مجموعة / مجموعات من مجرمي الإنترنت المسؤولين عن برنامج Citadel بتطوير مجتمعٍ من الزبائن، والمساهمين في جميع أنحاء العالم، الذين من شأنهم اقتراح ميزات وسمات للأنواع الجديدة من البرامج الخبيثة، والمساهمة في الرمز والنماذج كجزءٍ من شبكةٍ اجتماعيةٍ إجرامية. وقد اشتملت بعض القدرات الأكثر روعةً وإبهارًا على التشفير AES الخاص بملفات التكوين والاتصالات مع خادم القيادة والسيطرة، والقدرة على التهرب من تَعَقُّب المواقع، والقدرة على منع الوصول إلى المواقع الأمنية على أجهزة الضحايا، بالإضافة إلى الأداء الوظيفي الذي يُمَكِّن من تسجيل مقاطع فيديو لأنشطة الضحية.

وقد واصل المساهمون في شبكة Citadel إضافة المزيد من الميزات والسمات الديناميكية الجديدة إلى برنامج تروجان، مما جعله أسرع وأكثر تَكَيُّفًا حتى أصبح الأمر نفعيًّا؛ حيث بدأ المجرمون في استخدامه لجميع أغراض وأنواع سرقة بيانات الاعتماد.

وقد شَهِدَ برنامج Citadel نجاحًا كبيرًا حتى أطلقت مايكروسوفت، وائتلاف من شركاتٍ أخرى عمليةً من شأنها تعطيل حوالي 88% من الإصابات الناجمة عن هذا البرنامج في نهاية المطاف.

SpyEye

كان من المفترض أن يكون برنامج تروجان SpyEye برنامجًا مصرفيًّا، والذي من شأنه أن يصبح منافسًا لبرنامج Zeus. ولكن في النهاية، كان برنامج SpyEye مثل جميع الرجال الذين أمِلوا أن يكونوا ورثةً لعَظَمة “مايكل جوردان”، وقد أثاروا الضجيج والدعاية، وكانت لديهم الإمكانيات، إلا أنهم لم يستطيعوا إزاحة الملك؛ فـ Zeus هو الملك، ولا شك في ذلك، ولكن SpyEye صنع دَفقةً (دفعةً) تختفي سريعًا.

في وقتٍ ما، تم دمج أجزاء من نظام التشغيل (بوت نِت) الخاص بـ SpyEye مع أجزاء Zeus في نظام (بوت نِت) المصرفي (ميج)، إلا أن هذا النظام سيحترق في نهاية المطاف من دون الارتقاء إلى الضجيج والدعاية. وعلى الرغم من نجاحاته، قام المهاجمون بنشر SpyEye في إحدى الهجمات التي تستهدف صفحة الفواتير على الإنترنت الخاصة بشركة فيرايزون للاتصالات؛ لسرقة معلومات المستخدمين المالية والشخصية الحساسة لأكثر من أسبوعٍ دون سابق إنذار، وقد ظهر ذلك على خدمة التخزين البسيط بمنطقة الأمازون، من خلال استخدام مزود السحابة كمنصة لشن الهجمات. وظهر كذلك على أجهزة أندرويد في وقتٍ ما، إلا أن سلسلةً من الاعتقالات، وربما عدم الفاعلية هي التي أنهت تشغيل SpyEye.

وقد تم إلقاء القبض على ثلاثة رجال من دول البلطيق في صيف 2012 لاستخدامهم SpyEye لتشغيل وإدارة عملية سرقة معلومات مصرفية، على درجة عالية من التنظيم. وفي شهر أيار / مايو من هذا العام، تم القبض على مطور SpyEye المزعوم في تايلاند وتسليمه إلى الولايات المتحدة؛ حيث يواجه أكثر من ثلاثين تهمة ذات صلة بتهم الاحتيال المصرفي وبوت نِت.

ومنذ ذلك الحين، لم نسمع الكثير عن SpyEye.

Zeus

وبعد ذلك، كان هناك Zeus، وهو اسم على مسمى؛ حيث إنه يطلق على مَلِك الآلهة الإغريقية، ولم يسبق لزيوس مثيل في نطاقه واستخدامه وفاعليته. وبما أن شفرة المصدر الخاصة به كان قد تم تسريبها في عام 2011، يبدو أن كل تروجان مصرفي لديه نكهات من زيوس تم تدعيمه بها. ومن بين هذه البرامج، يُعَد Zeus سيئ السمعة بقدرٍ كافٍ لدرجة أن يكون لديه صفحته الخاصة على ويكيبيديا. ويوجد 22 صفحة، تحتوي كلٌّ منها على عشر قصص على المنشور التحذيري (حيث تذهب كل الروابط التشعبية إلى الموقع)، تُمَثِّل مرجعًا لتروجان Zeus. ويمكنك أن تكتب روايةً طويلةً للـ “يو تولستوي، أو مارسيل بروست” عن الطرق الخداعية لتروجان Zeus؛ لذلك من المستحيل – تقريبًا – أن تُقَدِّر حجم التهديد، ولكننا سوف نعرض بعض النقاط البارزة.

في عام 2007، انفجر على الساحة Zeus بعد أن تم استخدامه في هجومٍ لسرقة بيانات الاعتماد التي كانت تستهدف وزارة النقل الأمريكية، ومنذ ذلك الحين أصاب Zeus عشرات الملايين من الأجهزة، وقد نتج عن ذلك سرقة مئات الملايين من الدولارات، حتى ورد في التقارير أن مصممه قد أنهاه في عام 2011، وذلك من خلال نشر شفرة المصدر الخاصة بالبرامج الخبيثة على الإنترنت، ويوجد العديد من مئات الأفراد الذين قضوا أو مازالوا يقضون عقوبة السجن لتورطهم في عمليات احتيال ذات صلة بـ Zeus.

وقد تم بيعه بين القطع الأولى للبرامج الخبيثة عبر الترخيص، حتى صدرت شفرة المصدر الخاصة به على الملأ. وكان زيوس آفة البنوك والشركات على حدٍّ سواء؛ وقد أصبحت قائمة ضحاياه طويلةً للغاية، بحيث صارت أطول من أن تُدرَج، إلا أنها تشتمل على بنوكٍ وشركاتٍ ووكالاتٍ حكوميةٍ بارزة.

ويعتبر زيوس أيضًا معروفًا بالاستخدام المبتكر للأجهزة النقالة “الأخ الأصغر” التي تُدعَى ZitMo؛ وذلك للتحايل على أنظمة المصادقة الشعبية ذات الاتجاهين، مع رمز الحماية الذي يتم تقديمه عبر رسالةٍ نصية. وقد طَوَّر SpyEye و Carber نظائرهما النقالة الخاصة بهما أيضًا.

بعيدًا عن البرامج الخبيثة المصرفية، يُعَد تروجان Zeus الأسوأ سمعةً بين كافة البرامج الخبيثة، بل ربما يكون الثاني فقط بعد “ستوكس نت”.

الحماية

تشترك البرامج الخبيثة للبرامج الأربعة الأخطر في نفس الخصائص الأساسية؛ حيث تحاول الهروب من أن تُكتشَف عن طريق برامجك المكافحة للفيروسات، وذلك من خلال اعتراض ضربات المفاتيح، وبيانات المتصفح والملفات المُخَزَّنَة، وكل شيءٍ في الأساس يساعد على التسلل إلى الحساب البنكي الخاص بك، والبدء في عملية التحويل المالي غير الشرعي. وتحاول أيضًا تثبيت برامج خبيثة نقالة على هاتفك الذكي، مما يُمَكِّن المجرمين من سرقة رموز الحماية ذات المرة الواحدة، وغالبًا ما يتم استخدام هذه الرموز من قِبَل البنوك للموافقة على الصفقة.

من بين الأنواع الأخرى من البرامج الخبيثة، تمتلك برامج تروجان المصرفية القدرة على إلحاق الضرر المالي المباشر بضحاياها، ولهذا السبب يجب أن تشتمل برامج الحماية الحديثة على التدابير المضادة المُحَدَّدَة المكافحة لكل جانبٍ من الأداء الوظيفي لتروجان “المصرفي”.

وقد قام مختبر كاسبرسكي بتعبئة تدابير الحماية تلك في تكنولوجيا المال الآمن، والتي يتم تطبيقها في الإصدارات الحديثة من برنامج كاسبرسكي للحماية على الإنترنت متعدد الأجهزة، وكاسبرسكي بيور.

فتعلَّم كيف تُفَعِّل خاصية المال الآمن من خلال هذه النصيحة.

الدب الأخضر يلتقي بسكوديريا فيراري في سوزوكا

كما يعلم الكثير منكم أن كاسبرسكي  لاب يرعى سكوديريا فيراري، فريق الفورمولا واحد الأسطوري. ونحن أيضًا مورد تكنولوجيا المعلومات لهم. في الأسبوع الماضي، قبل سباق الجائزة الكبرى اليابانية مباشرةً، تمت

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!