عصابة إسبانية افتراضية تستهدف القطاع المصرفي منذ 5 سنوات
استهدفت عملية تخريبية إلكترونية معقدة معروفة بالاسم “دارك تكلا”، مستخدمين في أمريكا اللاتينية، ولا سيما المكسيك، لفترة السنوات الخمس الماضية، من أجل سرقة بيانات اعتماد الدخول إلى الحسابات المصرفية والبيانات الشخصية والمؤسسية، وذلك باستخدام برمجية خبيثة يمكنها التحرك تلقائياً عبر حاسوب الضحية غير المتصل بالإنترنت.
وتنتشر البرمجية الخبيثة، وفقاً لباحثين من كاسبرسكي لاب، من خلال أدوات USB مصابة وعبر وسائل التصيد الموجّه وتتضمن مزايا متطورة لتجنب الكشف عنها، ويعتقد أن الجهة التي تقف وراء العملية التخريبية هذه جهة ناطقة بالإسبانية.
وقد جرى تطوير البرمجية الخبيثة “دارك تكلا” والبنية التحتية الداعمة لها تطويراً غير مألوف لجعلها تناسب عمليات الاحتيال المالي، لتشكل تهديداً يركِّز بالأساس على سرقة المعلومات المالية، ولكنها بمجرد الدخول إلى جهاز الحاسوب، تقوم بسحب بيانات اعتماد الدخول إلى مواقع أخرى، تشمل مواقع ويب شهيرة، جامعة عناوين البريد الإلكتروني الشخصية والتجارية والسجلات الخاصة بأسماء النطاق وحسابات تخزين الملفات والمزيد، ربما لتُباع أو تستخدم في عمليات تخريبية مستقبلية.
وتحمل البرمجية الخبيثة حمولة متعددة المراحل توزّعها على المستخدمين من خلال أقراص التخزين USB المصابة والرسائل الإلكترونية الخاصة بعمليات التصيد الموجه، وما أن تدخل في جهاز حاسوب حتى تقوم بالاتصال بخادم القيادة الذي تتبع له لتلقي الإرشادات، ولا يتم تسليم الحمولة إلى الضحية إلا عندما تُستوفى بعض شروط الشبكة التقنية. وإذا اكتشفت البرمجية الخبيثة حلاً أمنياً مثبتاً، أو نشاطاً لمراقبة الشبكة أو علامات تشير إلى أن العيّنة يتم تشغيلها في بيئة تحليل أمني، مثل تقنيات الفصل الافتراضي Snadbox، فإنها توقف عملية الإصابة وتلغي نفسها من النظام.
أما في حال لم تعثر على أي من هذه الحلول والأنشطة على النظام، تنشّط البرمجية الخبيثة العدوى ناسخة ملفاً تنفيذياً إلى قرص تخزين محمول من أجل التشغيل التلقائي للملف، ما يمكّن البرمجية الخبيثة من التحرّك عبر الأجهزة دون الحاجة إلى الاتصال بالشبكة وذلك من خلال قرص التخزين، وحتى عندما يتم اختراق جهاز واحد في البداية عن طريق التصيد الموجّه. وعندما يتم توصيل قرص تخزين USB آخر بالحاسوب المصاب يصبح تلقائياً مصاباً ومستعداً لنشر البرمجية الخبيثة وإيصالها إلى أهداف أخرى.
وتحتوي الغرسة الخبيثة التي يتم زرعها في الجهاز المصاب على جميع الوحدات المطلوبة للعملية، والتي تشمل سجلاً مفتاحياً وقدرة على مراقبة النظام “ويندوز”، للحصول على تفاصيل تسجيل الدخول ومعلومات شخصية أخرى. وعندما يطلب خادم القيادة من البرمجية تنفيذ العملية يتم فكّ تشفير مختلف الوحدات وتنشيطها، ليتم بعد ذلك تحميل جميع البيانات المسروقة إلى الخادم بطريقة مشفرة.
وتنشط عملية “دارك تكلا” منذ العام 2013 على الأقل، مستهدفة مستخدمين في المكسيك أو مرتبطين بهذا البلد. وقد أظهرت تحليلات كاسبرسكي لاب أن استخدام كلمات إسبانية في شيفرة البرمجية ووجود دليل على المعرفة المحلية، يشيران إلى أن الجهة الكامنة وراء هذا التهديد تنتمي إلى أمريكا اللاتينية.
وقال دميتري بيستوزيڤ رئيس الفريق العالمي للأبحاث والتحليلات لدى كاسبرسكي لاب بمنطقة أمريكا اللاتينية، إن تهديد “دارك تكلا” يبدو للوهلة الأولى مثل أي هجوم يستهدف القطاع المصرفي بالتروجانات، من أجل الحصول على المعلومات وبيانات اعتماد الدخول لتحقيق مكاسب مالية، لكنه أوضح أن التحليل المتعمق كشف عن مستوى تعقيد متقدم في عمل البرمجية الخبيثة لا يُشاهد كثيراً في التهديدات التي تستهدف القطاع المالي، وأضاف: “يساعد الهيكل النموذجي للشيفرة وآليات التشويش على تجنّب الكشف عن البرمجية التي لا تسلّم حمولتها الخبيثة إلاّ عندما تقرّر أن الوضع آمن للقيام بذلك، وهذه الحملة نشطة منذ عدة سنوات وما زالنا نجد عينات جديدة منها، وهي لم تهاجم، حتى الآن، سوى أهداف في المكسيك، لكن إمكانياتها التقنية تجعلها قادرة على مهاجمة أهداف في أي جزء من العالم”.
ونصحت كاسبرسكي لاب المستخدمين، بالتحقق من أية مرفقات في رسائل البريد الإلكتروني بأحد حلول مكافحة الفيروسات قبل فتحها، وتعطيل ميزة التشغيل التلقائي من أقراص USB، والتحقق من أقراص USB بأحد حلول مكافحة الفيروسات قبل فتحها، وعدم وصل أجهزة USB مجهولة المصدر أو المحتوى بالحاسوب، واستخدام حل أمني مع حماية قوية إضافية ضد التهديدات المالية.
فيما نصحت الشركات يتعطيل منافذ USB على أجهزة الحاسوب إلا إذا كانت مطلوبة للاستخدام في النشاط التجاري، وضبط التعامل بأقراص USB من خلال تحديد الآمنة التي يمكن استخدامها والغرض منها، وتثقيف الموظفين بشأن الممارسات الآمنة في استخدام أقراص USB، لا سيما إذا كانوا يقومون بنقلها بين أجهزتهم المنزلية والمؤسسية، والحفاظ على أقراص USB وعدم تركها في متناول أشخاص آخرين.
