تجمع خدمة الجرائم الإلكترونية المدعومة بالذكاء الاصطناعي مجموعات التصيد الاحتيالي مع تطبيقات Android الضارة

مجموعة جرائم إلكترونية ناطقة بالإسبانية تدعى فريق جي اكس سي وقد لوحظ أنه يقوم بتجميع مجموعات التصيد الاحتيالي مع تطبيقات Android الضارة، مما يؤدي إلى الارتقاء بعروض البرامج الضارة كخدمة (MaaS) إلى المستوى التالي.

ووصفت شركة الأمن السيبراني السنغافورية Group-IB، التي تتعقب ممثل الجريمة الإلكترونية منذ يناير 2023، حل البرمجيات الإجرامية بأنه “منصة متطورة للتصيد الاحتيالي كخدمة مدعومة بالذكاء الاصطناعي” قادرة على استهداف مستخدمي أكثر من 36 بنكًا إسبانيًا. وهيئات حكومية و30 مؤسسة حول العالم.

يتراوح سعر مجموعة التصيد الاحتيالي بين 150 دولارًا و900 دولارًا شهريًا، في حين أن الحزمة التي تتضمن مجموعة التصيد والبرامج الضارة لنظام Android متاحة على أساس الاشتراك مقابل حوالي 500 دولار شهريًا.

تشمل أهداف الحملة مستخدمي المؤسسات المالية الإسبانية، بالإضافة إلى الخدمات الضريبية والحكومية والتجارة الإلكترونية والبنوك وتبادل العملات المشفرة في الولايات المتحدة والمملكة المتحدة وسلوفاكيا والبرازيل. وقد تم تحديد ما يصل إلى 288 مجال تصيد مرتبط بالنشاط حتى الآن.

ومن بين مجموعة الخدمات المقدمة أيضًا بيع بيانات الاعتماد المصرفية المسروقة وخطط الترميز المخصصة للتأجير لمجموعات المجرمين الإلكترونيين الأخرى التي تستهدف الشركات المصرفية والمالية والعملات المشفرة.

“على عكس مطوري التصيد الاحتيالي التقليديين، قام فريق GXC بدمج مجموعات التصيد الاحتيالي مع برنامج خبيث لسرقة الرسائل النصية القصيرة لمرة واحدة (OTP)، مما أدى إلى تحويل سيناريو هجوم التصيد النموذجي إلى اتجاه جديد قليلاً،” هذا ما قاله الباحثان الأمنيان أنطون أوشاكوف ومارتين فان دن بيرك. قال في تقرير الخميس

ما هو ملحوظ هنا هو أن الجهات الفاعلة في مجال التهديد، بدلاً من الاستفادة بشكل مباشر من صفحة زائفة للحصول على بيانات الاعتماد، تحث الضحايا على تنزيل تطبيق مصرفي قائم على نظام Android لمنع هجمات التصيد الاحتيالي. يتم توزيع هذه الصفحات عبر التصيد الاحتيالي وطرق أخرى.

بمجرد التثبيت، يطلب التطبيق تكوين الأذونات كتطبيق الرسائل القصيرة الافتراضي، مما يجعل من الممكن اعتراض كلمات المرور لمرة واحدة والرسائل الأخرى ونقلها إلى روبوت Telegram الخاضع لسيطرته.

وقال الباحثون: “في المرحلة النهائية، يفتح التطبيق موقعًا إلكترونيًا حقيقيًا للبنك في WebView مما يسمح للمستخدمين بالتفاعل معه بشكل طبيعي”. “بعد ذلك، عندما يقوم المهاجم بتشغيل مطالبة OTP، تتلقى البرامج الضارة التي تعمل بنظام Android رسائل SMS بصمت وتعيد توجيهها برموز OTP إلى دردشة Telegram التي يتحكم فيها ممثل التهديد.”

من بين الخدمات الأخرى التي أعلن عنها ممثل التهديد على قناة Telegram المخصصة هي أدوات الاتصال الصوتي المدعمة بالذكاء الاصطناعي والتي تسمح لعملائها بإجراء مكالمات صوتية لأهداف محتملة بناءً على سلسلة من المطالبات مباشرة من مجموعة التصيد الاحتيالي.

عادةً ما تتنكر هذه المكالمات على أنها صادرة من أحد البنوك، وتطلب منهم تقديم رموز المصادقة الثنائية (2FA) الخاصة بهم، أو تثبيت تطبيقات ضارة، أو تنفيذ إجراءات تعسفية أخرى.

“إن استخدام هذه الآلية البسيطة والفعالة يعزز سيناريو الاحتيال بشكل أكثر إقناعًا لضحاياه، ويوضح مدى سرعة وسهولة اعتماد أدوات الذكاء الاصطناعي وتنفيذها من قبل المجرمين في مخططاتهم، وتحويل سيناريوهات الاحتيال التقليدية إلى تكتيكات جديدة أكثر تطورًا،” الباحثون أشار.

في تقرير حديث، كشفت شركة Mandiant المملوكة لشركة Google كيف أن استنساخ الصوت المدعوم بالذكاء الاصطناعي لديه القدرة على تقليد الكلام البشري “بدقة خارقة”، مما يسمح بمزيد من مخططات التصيد الاحتيالي (أو التصيد الاحتيالي) التي تسهل الوصول الأولي، وتصعيد الامتيازات، والحركة الجانبية.

وقالت شركة استخبارات التهديدات: “يمكن للجهات الفاعلة في مجال التهديد انتحال شخصية المديرين التنفيذيين أو الزملاء أو حتى موظفي دعم تكنولوجيا المعلومات لخداع الضحايا للكشف عن معلومات سرية، أو منح الوصول عن بعد إلى الأنظمة، أو تحويل الأموال”. قال.

“يمكن استغلال الثقة المتأصلة المرتبطة بصوت مألوف للتلاعب بالضحايا لاتخاذ إجراءات لا يتخذونها عادة، مثل النقر على الروابط الضارة، أو تنزيل البرامج الضارة، أو الكشف عن بيانات حساسة.”

أصبحت مجموعات التصيد الاحتيالي، التي تأتي أيضًا بقدرات الخصم في الوسط (AiTM)، شائعة بشكل متزايد لأنها تخفض الحاجز الفني أمام الدخول لتنفيذ حملات التصيد الاحتيالي على نطاق واسع.

الباحث الأمني ​​mr.d0x، في تقرير نُشر الشهر الماضي، وقال إنه من الممكن للجهات الفاعلة السيئة الاستفادة من تطبيقات الويب التقدمية (PWAs) لتصميم صفحات تسجيل دخول مقنعة لأغراض التصيد الاحتيالي من خلال التلاعب بعناصر واجهة المستخدم لعرض شريط URL مزيف.

علاوة على ذلك، يمكن أيضًا استخدام مجموعات التصيد الاحتيالي AiTM هذه لاقتحام الحسابات المحمية بواسطة مفاتيح المرور على منصات مختلفة عبر الإنترنت عن طريق ما يسمى بهجوم تنقيح طريقة المصادقة، والذي يستفيد من حقيقة أن هذه الخدمات لا تزال تقدم طريقة مصادقة أقل أمانًا كآلية احتياطية حتى عند تكوين مفاتيح المرور.

“نظرًا لأن AitM يمكنه معالجة العرض المقدم للمستخدم عن طريق تعديل HTML وCSS والصور أو JavaScript في صفحة تسجيل الدخول، حيث يتم نقله إلى المستخدم النهائي، فيمكنه التحكم في تدفق المصادقة وإزالة جميع الإشارات إلى مصادقة مفتاح المرور، “شركة الأمن السيبراني eSentire قال.

ويأتي هذا الكشف وسط زيادة حديثة في حملات التصيد الاحتيالي التي تتضمن عناوين URL مشفرة بالفعل باستخدام أدوات أمنية مثل بوابات البريد الإلكتروني الآمنة (SEGs) في محاولة لإخفاء روابط التصيد الاحتيالي والتهرب من الفحص، وفقًا لما ذكرته صحيفة “ديلي ميل” البريطانية. شبكات باراكودا و كوفينس.

وقد لوحظ أيضًا أن هجمات الهندسة الاجتماعية تلجأ إلى أساليب غير معتادة حيث يتم إغراء المستخدمين بزيارة مواقع الويب التي تبدو شرعية، ثم يُطلب منهم نسخ التعليمات البرمجية المبهمة ولصقها وتنفيذها يدويًا في محطة PowerShell تحت ستار إصلاح المشكلات المتعلقة بعرض المحتوى على الويب. browser.

تم توثيق تفاصيل طريقة تسليم البرامج الضارة مسبقًا بواسطة ReliaQuest وProofpoint. تقوم McAfee Labs بتتبع النشاط تحت الاسم المستعار ClickFix.

“من خلال تضمين البرامج النصية المشفرة بـ Base64 ضمن مطالبات خطأ تبدو مشروعة، يخدع المهاجمون المستخدمين لتنفيذ سلسلة من الإجراءات التي تؤدي إلى تنفيذ أوامر PowerShell الضارة،” هذا ما قاله الباحثون ياشفي شاه وفيجنيش داتشانامورثي. قال.

“تقوم هذه الأوامر عادةً بتنزيل وتنفيذ الحمولات، مثل ملفات HTA، من خوادم بعيدة، ومن ثم نشر برامج ضارة مثل بوابة الظلام ولوما ستيلر.”