تیم اطلاعات تهدید موبایل (MTI) شرکت Threat Fabric به کاربران ارز دیجیتال درباره یک نوع جدید از بدافزار موبایل Crocodilus هشدار داده است که اکنون به یک جمعآورنده خودکار عبارت بذر مجهز شده است.
'Crocodilus' بدافزار عبارات بازیابی را میدزدد و کاربران کریپتو در سراسر جهان را هدف قرار میدهد
نویسنده
اشتراک
بدافزار شامل یک تجزیهگر جمعآوریکننده عبارت بذر
تیم اطلاعات تهدید موبایل (MTI) در Threat Fabric به کاربران ارز دیجیتال درباره یک نسخه جدید از بدافزار موبایل Crocodilus هشدار داده است که اکنون یک جمعآورنده خودکار عبارت بذر نیز دارد. این بدافزار که در ابتدا در ماه مارس شناسایی شد، گزارش شده است که فهرست هدف خود را از کشورهای اروپایی به کاربران در آمریکای جنوبی گسترش میدهد.
در جدیدترین پست وبلاگ خود، تیم MTI بیان کرد که نوع جدید Crocodilus به طور خاص به برنامههای کیف پول ارز دیجیتال حمله میکند. آنچه این نسخه را به خصوص نگرانکننده میسازد، وجود تجزیهگر اضافی است که کمک میکند عبارتهای بذر و کلیدهای خصوصی از کیفهای پول خاص استخراج شوند.
در حالی که هنوز بر مبنای ویژگی ثبت دسترسی موجود در نسخههای قبلی است، بدافزار بهروزرسانیشده شامل پیشپردازش بهبودیافتهای از دادههای ثبتشده روی صفحه نمایش میباشد. این بهبود اجازه میدهد که دادهها در یک فرمت خاص با استفاده از عبارات منظم استخراج شوند قبل از اینکه به نمایش درآیند.
“در وبلاگ قبلی خود در مورد Crocodilus، علاقه مجرمان سایبری به کیف پولهای ارز دیجیتال را مطرح کردیم که باعث میشدند قربانیان برنامههای کیف پول را باز کنند تا دادههای نمایشدادهشده روی صفحه نمایش را به سرقت ببرند”، تیم توضیح داد. “با تجزیه اضافی انجامشده در سمت دستگاه، عوامل تهدید دادههای پیشپردازششده با کیفیت بالا دریافت میکنند که آماده استفاده در عملیاتهای متقلبانه مانند تصاحب حساب و هدفگیری داراییهای ارز دیجیتال قربانیان است.”
فراتر از تجزیهگر اضافی، ویژگی بهروزرسانیشده بدافزار شامل قابلیتهایی است که اجازه میدهد مجرمان سایبری فهرست مخاطبان در دستگاه آلوده را تغییر دهند. تیم MTI مشکوک است که این ویژگی به مهاجمان اجازه میدهد تا شماره تلفنی تحت یک نام قانعکننده، مانند “پشتیبانی بانک” اضافه کنند. این تماس میتواند برای تماس با قربانی استفاده شود در حالی که معتبر به نظر میرسد و احتمالاً اقدامات پیشگیری از تقلب که شمارههای ناشناخته را شناسایی میکنند را دور بزنند.
به گفته تیم MTI، Crocodilus به طور فعال در ترکیه و اسپانیا کمپینهای سایبری برگزار میکند و کاربران بانکهای بزرگ و پلتفرمهای ارز دیجیتال را هدف قرار میدهد. در ترکیه، خود را به عنوان یک کازینو آنلاین جا میزند و از طریق تبلیغات مخرب گسترش مییابد و صفحههای ورود جعلی بر روی برنامههای مالی پوشش میدهد.
در اسپانیا، به عنوان یک بهروزرسانی جعلی مرورگر توزیع میشود و همه بانکهای اسپانیایی را هدف قرار میدهد. کمپینهای کوچکتر نیز با هدفهای جهانی شناسایی شدهاند که برنامههای کاربردی در آرژانتین، برزیل، ایالات متحده، اندونزی و هند را تحت تاثیر قرار میدهند، تیم افزود.
