'Crocodilus' תוכנה זדונית גונבת משפטי זרע, מטרות משתמשי קריפטו ברחבי העולם

תכונות הנוזקה כוללות מפענח איסוף משפטי זרע

צוות מודיעין האיומים הניידים (MTI) ב-Threat Fabric הוציא אזהרה למשתמשי קריפטו על וריאנט חדש של נוזקת מובייל, Crocodilus, הכולל כעת מאסף אוטומטי של משפטי זרע. הנוזקה, שזוהתה לראשונה בחודש מרץ, מרחיבה כעת את רשימת היעדים שלה ממדינות אירופה ומתמקדת גם במשתמשים בדרום אמריקה.

בפוסט הבלוג האחרון שלה, ציינה קבוצת MTI כי הווריאנט החדש של Crocodilus מכוון במיוחד ליישומי ארנק קריפטו. מה שמדאיג במיוחד בווריאנט הזה הוא מפענח נוסף שעוזר לחלץ משפטי זרע ומפתחות פרטיים מארנקים ספציפיים.

בעודו מתבסס עדיין על מאפיין רישום הנגישות הנמצא בגרסאות קודמות, הנוזקה המעודכנת כוללת שיפור בעיבוד המידע המוקלט על המסך. השיפור הזה מאפשר לחלץ נתונים בפורמט מסוים באמצעות ביטויים רגולאריים לפני שהם מוצגים.

“בבלוג הקודם שלנו על Crocodilus, הדגשנו את העניין של פושעי הסייבר בארנקי הקריפטו בזמן שהכריחו קורבנות לפתוח את אפליקציות הארנק כדי לגנוב את הנתונים המוצגים על המסך,” הסביר הצוות. “עם עיבוד נוסף המתבצע בצד ההתקן, התוקפים מקבלים נתונים איכותיים מעובדים מראש, מוכנים לשימוש בעסקאות תרמית כמו השתלטות על חשבון, המכוונות אל נכסי קריפטו של הקורבנות.”

מעבר למפענח נוסף, הנוזקה המעודכנת כוללת יכולת שמאפשרת לפושעי הסייבר לשנות את רשימת אנשי הקשר במכשיר נגוע. צוות MTI חושד שהיכולת הזאת מאפשרת לתוקפים להוסיף מספר טלפון תחת שם משכנע, כמו “תמיכת בנק.” איש הקשר הזה יכול לשמש לאחר מכן כדי להתקשר לקורבן ולהיראות לגיטימי, תוך עקיפת אמצעי מניעה של תרמית שמסמנים מספרים לא ידועים.

לפי צוות MTI, Crocodilus מנהל כיום קמפיינים סייבריים בטורקיה ובספרד, כשהוא מכוון למשתמשים בבנקים מרכזיים ובפלטפורמות קריפטו. בטורקיה, הוא מסתווה כקזינו מקוון ומתפשט באמצעות פרסומות זדוניות, כשהוא מציג דפי התחברות מזויפים על יישומים פיננסיים.

בספרד, הוא מופץ כתוכנית עדכון דפדפן מזויפת, מכוון כמעט לכל הבנקים הספרדיים. קמפיינים קטנים נוספים זוהו עם מטרות גלובליות, המשפיעים על יישומים בארגנטינה, ברזיל, ארה”ב, אינדונזיה והודו, הוסיף הצוות.