▷يواجه عملاء البنك الإسباني الآن تهديد البرامج الضارة "Grandoreiro" ✅

يقوم المتسللون بتراكب صفحات تصيد معلومات تسجيل الدخول المصرفي يدويًا فوق عناوين URL الحقيقية.
يتم إبلاغهم عبر برنامج ضار يسمى "Grandoreiro" عندما يزور الضحية الموقع المستهدف.
يمكن أن تستبدل البرامج الضارة اختصار Chrome بآخر يقوم بتحميل ملحق ضار.

تتعامل البنوك والمؤسسات المالية في إسبانيا مع تهديد جديد للبرامج الضارة يسمى "Grandoreiro". بحسب تحليل أجرته باحثو IBM X-Force، تم ترحيل البرامج الضارة المعينة بسهولة من البرازيل إلى إسبانيا ، حيث لم يكن لدى منشئيها الكثير من التعديلات على التعليمات البرمجية (تشابه يصل إلى 90٪). تُستخدم أحصنة طروادة المصرفية على نطاق واسع في أمريكا اللاتينية ، حيث أثبتت نجاحها للغاية على مدى السنوات الست الماضية. من الممكن أن يكون الممثلون الإسبان قد اشتروا Grandoreiro على شبكة الإنترنت المظلمة ، أو أن لديهم علاقات مباشرة مع المتسللين البرازيليين.

تشابه الكود "width =" 696 "height =" 270 "data-srcset =" https://cdn.technadu.com/wp-content/uploads/2020/04/code-similarities-1024x397.png 1024w، https: / /cdn.technadu.com/wp-content/uploads/2020/04/code-similarities-300x116.png 300w، https://cdn.technadu.com/wp-content/uploads/2020/04/code-similarities- 768x298.png 768w ، https://cdn.technadu.com/wp-content/uploads/2020/04/code-similarities-200x78.png 200w، https://cdn.technadu.com/wp-content/uploads/ 2020/04 / code-similarities-696x270.png 696w، https://cdn.technadu.com/wp-content/uploads/2020/04/code-similarities-1068x414.png 1068w، https: //cdn.technadu. com / wp-content / uploads / 2020/04 / code-similarities-1083x420.png 1083w، https://cdn.technadu.com/wp-content/uploads/2020/04/code-similarities.png 1506w "الأحجام = "(العرض الأقصى: 696 بكسل) 100 فولت / 696 بكسل

تبدأ الإصابة بالبريد العشوائي الذي يحتوي على روابط إلى موقع ويب بالقطارة. يستخدم Grandoreiro ملفات msi. المقنَّعة كفواتير للعمل كمحمل. يتم استضافة الوحدات الإضافية على مستودعات GitHub من أجل الوصول السهل والموثوق ، بالإضافة إلى الحد من مخاطر الكشف. بمجرد أن يتلقى Grandoreiro الوحدات ، يعمل على النظام المصاب ويقيم التواصل مع الممثلين. يتحمل المشغلون مسؤولية تحميل التراكبات ، والتي تم تصميمها لتبدو تمامًا مثل مواقع البنوك الحقيقية ، وتطلب من الزائر إدخال بيانات اعتماده المصرفية الإلكترونية أو تفاصيل الدفع الأخرى وبطاقات الائتمان. ثم يتم سرقة المدخلات وإرسالها إلى خادم C2 عبر SSL (اتصال مشفر).

يرسل Grandoreiro إشعارات عندما يصل الضحية إلى موقع مصرفي ، ويرسل معلومات الجهاز ، وبيانات الحافظة ، ويمكنه تسهيل إمكانيات الوصول عن بعد. تنخرط البرامج الضارة أيضًا في خدعة أنيقة جدًا تقتل أي جلسات Chrome نشطة وتستبدل اختصار المتصفح بواحد يحتوي على معلمة لتحميل امتداد ضار. يحمل هذا الملحق اسم "Google Plugin" v1.5.0. على الرغم من أنها تبدو شرعية ، إلا أنها جزء من الرمز الذي سيصل إلى سجل التصفح الخاص بك ، ويدفع الإشعارات ، ويعدل النسخ واللصق للبيانات ، ويجمع معلومات المستخدم من ملفات تعريف الارتباط.

المكون الإضافي المزيف "width =" 638 "height =" 770 "data-srcset =" https://cdn.technadu.com/wp-content/uploads/2020/04/fake-plugin.png 638w، https: // cdn .technadu.com / wp-content / uploads / 2020/04 / fake-plugin-249x300.png 249w، https://cdn.technadu.com/wp-content/uploads/2020/04/fake-plugin-166x200. png 166w ، https://cdn.technadu.com/wp-content/uploads/2020/04/fake-plugin-348x420.png 348w "أحجام =" (الحد الأقصى للعرض: 638 بكسل) 100vw ، 638 بكسل

إذا كنت تتساءل عما يمكنك فعله لحماية نفسك من هذه المخاطر ، فإن الخطوة الأولى هي تجاهل اتصالات البريد الإلكتروني غير المرغوب فيها. ثانيًا ، يجب عليك استخدام أوضاع المتصفح التي لا تسمح بتشغيل الإضافات ، مثل وضع التصفح المتخفي في Chrome. ثالثًا ، من المؤكد أن استخدام حل أمان الشبكة سيكشف عن محاولة التراكب التي تحدث عندما تحاول زيارة موقع الخدمات المصرفية وحظره. أخيرًا ، يمكن أن يعمل استخدام مدير كلمات المرور الذي يملأ بيانات الاعتماد تلقائيًا كمنقذ في حالة التراكبات ، لأن رؤية أي شيء ممتلئ في الصفحة سيكون بمثابة فرصة لك لإدراك أنك تتعامل مع تراكب مزيف.

يواجه عملاء البنك الإسباني الآن تهديد البرامج الضارة "Grandoreiro"

نحن نوصيك: