حذرت فريق الاستخبارات بشأن التهديدات المحمولة (MTI) في Threat Fabric المستخدمين من العملات الرقمية من نسخة جديدة من برمجيات كرودوكيلوس الضارة المحمولة، وهي الآن مزودة بمجمع تلقائي لعبارات البذور.
'Crocodilus' البرامج الضارة تسرق العبارات الأولية، وتستهدف مستخدمي العملات المشفرة على مستوى العالم
بقلم
مشاركة
البرمجيات الضارة تحتوي على محلل لجمع عبارات البذور
أصدر فريق الاستخبارات بشأن التهديدات المحمولة (MTI) في Threat Fabric تحذيرًا للمستخدمين من العملات الرقمية بشأن نسخة جديدة من البرمجيات الضارة المحمولة، كرودوكيلوس، التي تتضمن الآن مجمع تلقائي لعبارات البذور. حددت هذه البرمجيات لأول مرة في مارس، ويُقال إنها توسع قائمة استهدافها من الدول الأوروبية لتشمل المستخدمين في أمريكا الجنوبية.
في آخر تدوينة على المدونة، ذكر فريق MTI أن النسخة الجديدة من كرودوكيلوس تستهدف بشكل خاص تطبيقات المحفظة الرقمية. ما يجعل هذه النسخة مقلقة بشكل خاص هو المضافات الجديدة، التي تساعد على استخراج عبارات البذور والمفاتيح الخاصة من محافظ معينة.
بينما لا تزال تعتمد على خاصية تسجيل الوصول المتاحة في النسخ السابقة، تشمل البرمجيات الضارة المحسنة معالجة مسبقة للبيانات التي تُسجل على الشاشة. مما يسمح باستخراج البيانات بصيغة محددة باستخدام تعبيرات عادية قبل عرضها.
“في مدونتنا السابقة عن كرودوكيلوس، أبرزنا اهتمام المجرمين الإلكترونيين بمحافظ العملات الرقمية حيث كانوا يدعون الضحايا لفتح تطبيقات المحفظة لسرقة البيانات المعروضة على الشاشة”، أوضح الفريق. “مع المعالجة الإضافية التي تتم على جانب الجهاز، يتلقى المجرمون الإلكترونيون بيانات معالجة مسبقًا بجودة عالية، جاهزة للاستخدام في عمليات احتيالية مثل استيلاء على الحساب، واستهداف أصول العملات الرقمية للضحايا.”
بعيدًا عن المحلل الإضافي، تحتوي البرمجيات الضارة المحسنة على قدرة تمكّن المجرمين الإلكترونيين من تعديل قائمة جهات الاتصال على الجهاز المصاب. يشك فريق MTI أن هذه القدرة تمكن المهاجمين من إضافة رقم هاتف تحت اسم مقنع مثل “دعم البنك”. يمكن بعد ذلك استخدام هذا الاتصال للاتصال بالضحية بينما يبدو شرعيًا، مما قد يتجاوز تدابير منع الاحتيال التي تكشف الأرقام المجهولة.
وفقًا لفريق MTI، ينفذ كرودوكيلوس حملات سيبرانية نشطة في تركيا وإسبانيا، ويستهدف مستخدمي البنوك الكبرى ومنصات العملات الرقمية. في تركيا، يتنكر في هيئة كازينو عبر الإنترنت وينتشر من خلال إعلانات ضارة، مما يضع صفحات تسجيل دخول مزيفة على التطبيقات المالية.
في إسبانيا، يتم توزيعه كتحديث متصفح مزيف، مستهدفًا جميع البنوك الإسبانية تقريبًا. كما تم الكشف عن حملات أصغر تستهدف العالمية، تؤثر على التطبيقات في الأرجنتين والبرازيل والولايات المتحدة وإندونيسيا والهند، أضاف الفريق.
