يستهدف هذا الفيروس المصرفي المعاملات الخاطئة من خلال SPEI

يستهدف هذا الفيروس المصرفي المعاملات الخاطئة من خلال SPEI

شركة الأمن السيبراني إسيت نبهت النشاط الأخير لفيروس مصرفي يخدع ضحاياها عبر البريد الإلكتروني بتحويل مزعوم استلمه نظام الدفع الإلكتروني بين البنوك، المعروف باسم SPEI ويقوم بتثبيت ملف ضار ، بالإضافة إلى سرقة المعلومات المصرفية ، يقوم المجرمون بجمع عناوين البريد الإلكتروني وحتى سرقة بيانات اعتماد الوصول إلى البريد الإلكتروني.

وفقًا لمختبر أبحاث شركة الأمن السيبراني ، تم تحديد حملة خبيثة تنشر حصان طروادة المصرفي كاسبانييرو تستهدف المستخدمين في المكسيك. وهي واحدة من عائلات البرامج الضارة المصرفية التي تتمتع بأعلى نشاط في أمريكا اللاتينية في السنوات الأخيرة.

كيف يعمل؟

يتم توزيع الفيروس في هذه الحالة من خلال رسائل البريد الإلكتروني التي تمثل اتصالات مشروعة من بنك دولي معترف به لمحاولة خداع ضحاياهم. تشير الرسالة إلى تحويل نقدي مزعوم تم إجراؤه من خلال SPEI، هو نظام الدفع Banco de México الذي يعمل على تسوية المعاملات في ثوانٍ دون أي تكلفة.

يتضمن البريد الإلكتروني ملفًا لغة البرمجة مرفق كصورة اسمه “COMPROBANTE_SPEI_161220.html”، والتي تحتوي فقط على علامة “meta” لتوجيه المستخدم إلى موقع التنزيل. يتم استخدام علامة التعريف المفترضة في صفحات الويب للإشارة إلى وقت تحديث المتصفح أو لتوجيه الزوار إلى محتوى آخر ، فقط الإجراء الذي يتم تنفيذه في هذه الحالة.

يتم توجيه المستخدمين إلى موقع يخزن الملفات ، تم تكوينه باستخدام الموقع الجغرافي بواسطة عنوان IP للسماح بالاتصالات من المكسيك فقط. تحاول الصفحة التي يتم توجيهها إليها انتحال صورة نظام أساسي للفوترة الإلكترونية بغرض خداع المستخدمين.

في حالة الضحية ، يتم توجيه عملية تنزيل القسائم إلى الموقع نحن ننقل لتنزيل ملف يسمى “Vouchers.zip”أشارت الشركة إلى أنه كما هو الحال مع أحصنة طروادة المصرفية الأخرى التي تعمل ، فإن إحدى خصائصها الرئيسية هي استخدام سلاسل التوزيع الطويلة المكونة من مراحل متعددة حتى الوصول أخيرًا إلى الحمولة الخبيثة.

READ  قم بتوصيل المضيفات بالتصويت على التغييرات في CCT

في مرحلة التنزيل ، يبدو أن محتوى الملف المضغوط يتم إنشاؤه ديناميكيًا ، حيث يختلف اسمه وحجمه اعتمادًا على التنزيل. في المقابل ، يحتوي على ملفين آخرين ، مضغوطين أيضًا ، والذي يظهر مرة واحدة غير مضغوط ملفين CMD. تُستخدم هذه لتنزيل التعليمات البرمجية الضارة وتنفيذها.

“في هذه المرحلة ، تم تنزيل البرامج الضارة على نظام المستخدم. حمولة ضارة من الملفات CMD يحصل على معلومات النظام ويتحقق مما إذا كانت هناك منتجات مكافحة فيروسات مثبتة على الجهاز المخترق. بالإضافة إلى ذلك ، فإن البرمجيات الخبيثة لها وظيفة تنزيل حمولة ثانية مصممة ، من بين إجراءات أخرى ، لسرقة بيانات اعتماد الوصول إلى Outlook وإرسالها إلى المهاجم “. إسيت.

توصيات السلامة

وأشارت الشركة إلى أن التوصية الرئيسية للحماية من هذه الأنواع من الحملات الخبيثة هي تجاهل الرسائل التي “تبدو جيدة جدًا لدرجة يصعب معها رؤية الحقيقة” ، بالإضافة إلى تثبيت حل مضاد للبرامج الضارة على الجهاز.

وبالمثل ، يجب تحديث اكتشاف هذه الرموز الخبيثة بحيث يمكن تنفيذها بشكل فعال لأن مجرمي الإنترنت غالبًا ما يستخدمون تقنيات الهندسة الاجتماعية لمحاولة خداع المستخدمين في توزيع البرامج الضارة ، لذا فإن المعلومات والوعي ضروريان مستعدة ولا تقع في الفخ.

FS

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir