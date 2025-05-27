Mispadu، المعروف أيضاً باسم Ursa، هو برنامج ضار مالي متراكب عن بعد يستهدف البنوك في الدول الناطقة بالإسبانية والبرتغالية مثل المكسيك، كولومبيا، الأرجنتين، تشيلي، البرتغال، إسبانيا وغيرها. بعبارات بسيطة، تعد برامج التراكب الضارة عن بُعد برنامجًا ضارًا مصممًا للتحكم في نظام الضحية من خلال التحكم في أجهزة الماوس ولوحة المفاتيح بينما يرى المحتال الشاشة المباشرة للضحية.
ظهر Mispadu لأول مرة في عام 2019 وعاد إلى الظهور في عام 2022. مثل نظرائه، Mekotio و Granoreiro ، تتم كتابة Miscadu بلغة برمجة Delphi. على عكسهم، كان أقل شيوعًا في الانتشار حتى وقت قريب، عندما شوهدت حملات جديدة في العديد من الدول في أمريكا الوسطى وأمريكا اللاتينية وأوروبا. لمزيد من المعلومات حول Mekotio، راجع منشور المدونة السابق - حصان طروادة المصرفي Mekotio يستهدف أمريكا اللاتينية.
مع عودة Mispadu إلى العمل، حدثت عدة تغييرات في عملياته، بما في ذلك ترميز اتصال الأوامر والتحكم (C2C)، والذي سنستكشفه في هذا المقال.
كتراكب عن بُعد، يعد اتصال البرنامج الضار بمشغله أمرًا بالغ الأهمية لتحقيق هجوم ناجح. وعادةً ما يكون هذا الاتصال عبارة عن سلسلة من الأوامر التشغيلية تنتقل من المحتال إلى البرنامج الخبيث الذي يعمل على نظام الضحية.
تنفذ العديد من الهجمات المتداخلة، مثل سرقة أموال الضحية عبر حسابه البنكي، بينما يراقب المحتال ويتحكم في جلسات الضحية المباشرة.
على الرغم من أنه قد يبدو من البديهي أن التواصل مع المحتال سيحدث فور تنفيذ البرنامج الضار من قبل المستخدم، إلا أن الأمر ليس كذلك. ويشكل هذا التواصل خطرًا كبيرًا على المحتال لأنه قد يؤدي إلى إطلاق تنبيهات من برامج مكافحة الفيروسات.
في السيناريو الخاص بنا ومعظم الحالات التي تتضمن تراكبات أخرى عن بُعد، لا يبدأ الاتصال إلا بعد دخول المستخدم إلى أحد أهداف البرنامج الضار، وتحديداً مواقع البنوك على الإنترنت في الدول الناطقة بالإسبانية أو البرتغالية.
عندما يصل المستخدم إلى إحدى قوائم الأهداف الخاصة ببرنامج ضار، يتم إنشاء اتصال مع خادم الأوامر والتحكم (C2C). ويتحقق ذلك باستخدام واجهات برمجة التطبيقات (APIs) ذات المقابس التي تعمل بنظام Win32، والتي توفر الطريقة الأكثر ملاءمة لمثل هذا الاتصال.
قبل إعداد المقبس، يقوم البرنامج الضار بتعبئة معلومات المقبس، بما في ذلك منفذ الوجهة والعنوان.
بمجرد توصيل المقبس، تُرسل الرسالة "GFHHVG .." إلى خادم الأوامر والتحكم (C2C).
بعد توصيل المقبس وإرسال المنارة إلى خادم الأوامر والتحكم (C2C)، ينتظر البرنامج الضار لوجود إدخال من خادم الأوامر والتحكم (C2C). بمجرد استلام الرسالة، يتم التعامل معها عن طريق إحدى وظائف "read" التالية، اعتمادًا على تسلسل الرسالة المستلمة:
تتشابه هذه الوظائف مع بعضها ويتمثل الغرض منها في تحليل الرسائل التي يتم تلقيها من C2C.
دعنا نتعمق في الوظيفة الأولى"TwYHJk1_wC51Read":
بمجرد أن يتلقى البرنامج الضار رسالة من C2C، يقوم بتحليلها عن طريق فك تشفير الرسالة ثم مقارنتها بسلسلة تمثل أمرًا. في وظيفة "read" الأولى كما تظهر في المقتطف، يكون الأمر الأول الذي تتم مقارنته هو "<| SockMain |>". في وظائف "read" الأخرى، تختلف الأوامر المقارنة.
لاحظ الوظيفة في العنوان 0X7364A8.
هذه الوظيفة مسؤولة عن فك تشفير الرسالة بأكملها. تتلقى سلسلة، وبعد عدة معالجات رياضية، تقوم بإرجاع سلسلة مفككة.
دعنا ننظر داخل هذه الوظيفة ونكتشف خوارزمياتها.
يعمل ترميز الاتصالات على إخفاء نوايا المحتال وأساليب التشغيل. ويمكن تحقيق ذلك باستخدام خوارزميات اتصال موجودة مسبقًا أو خوارزميات مخصصة. كما أظهرنا سابقًا، يبدو أن الرسالة "GFHHV .." هي رسالة مشفرة، والتي، نظرًا لطبيعتها التي تبدو عشوائية وعديمة المعنى، تثير الشك في الترميز.
عندما نتحقق من وظيفة فك تشفير اتصالات C2C، يمكننا أن نرى أن تنفيذ آلية فك التشفير واضح ومباشر ويخدم الغرض من فك تشفير الرسائل المستلمة من خادم C2C. تُستخدم هذه الآلية نفسها أيضًا لتشفير الرسائل المرسلة إلى خادم C2C.
لنأخذ المثال أعلاه الذي نريد فك تشفيره. "GFHHVGCGEFUGAFofUGCFMFXHVFJ @"
دعنا نقسم عملية فك التشفير إلى الخطوات التالية:
الخطوة 1: خذ الحرف الأول ("G" gfhhvvggcgefugafugfugcfcfmxhvvfj@) وحوّله إلى ASCII. لديه قيمة 71. اطرح 65 من هذه القيمة (ASCII قيمة 'A'). النتيجة هي 6.
6 هي قيمتنا المتكررة أثناء عملية فك التشفير، والتي سنعود إليها لاحقاً.
الخطوة 2: خذ الحرف التالي ("F" gfhhvvggcgefugugafugfugcffmxhvvfj@) وحوّله إلى ASCII. قيمتها 70. اطرح 65 (ASCII قيمة "A").
النتائج هي 5.
لنفترض أنه متغير X.
يمكن تمثيل سطرين من التعليمات البرمجية للتجميع بالمعادلة التالية:
(X + 4X) + (X + 4X) * 4 => 25X = 25 * 5 = 125
الخطوة 3: خذ الحرف التالي ("H" gfhhvvggcgegfugugafugcfcfmfxhvfj)، قيمة ASCII: 72. اطرح قيمة ASCII 'A': النتيجة 7.
أضف إلى هذه القيمة النتيجة السابقة. 125 + 7 = 132.
من هذه القيمة، اطرح قيمتين- قيمة ثابتة تبلغ 66 ("ب") وقيمة الخطوة 1. 132 - 66 - 6 = 60. في ASCII، "<". هذا هو الحرف الأول من السلسلة التي تم فك تشفيرها.
الخطوة 4: كرر مرة أخرى الخطوة 2 + الخطوة 3 مع الزوج التالي من الأحرف ("H" & "V" GFHHVG ..) ، معبناء السلسلة التي تم فك تشفيرها عن طريق إلحاق الحرف التالي الذي تم فك تشفيره في كل مرة.
الخطوة 5: "@" يمثل نهاية السلسلة GFHHVGCGEFGEFUGAFOGAFOUGCFMFXHVFJ@
يمكننا الآن طباعة النتائج من فك تشفير النص المشفر: <|PRINCIPAL|>
هذه السلسلة تمثل إشارة الاتصال الأولية المرسلة من البرنامج الضار إلى خادم C2C.
تتمثل إحدى نتائج منهجية التشفير وفك التشفير هذه في أن الأحرف المشفرة المميزة يمكن أن تسفر عن نفس الحرف الذي تم فك تشفيره.
على سبيل المثال، يتم تعيين الحروف GGC و AFV كلاهما على الحرف نفسه P.
مثال آخر، لسيناريو أكثر تعقيدًا. بالحديث عن السلاسل- سيتم فك تشفير كل من"GFHHVGCGEFUGAFofUGCFMFXHVFJ"و "AFBHPFVFXFofTFIFOVFGFRHPFD" إلى النص العادي نفسه.
تتمثل إحدى الفوائد من خوارزميات التشفير وفك التشفير في أنه في حال مراقبة الشبكة، يكاد يكون من المستحيل فهم وضع عمليات البرامج الضارة دون الحصول على خوارزمية فك التشفير. ويرجع ذلك إلى التنوع الكبير في خيارات التشفير المتاحة لكل أمر، مما يجعل نفس نمط التشغيل الذي تقوم به البرامج الضارة يظهر مختلفاً في كل مرة أمام شاشة الشبكة.
بمجرد فك تشفير الأمر، يكون المسار إلى الأمام للعينة واضحًا ومباشرًا. يمتلك كل أمر وظيفته التشغيلية الخاصة، وهو ما يتيح للمحتال أداء مهام مختلفة على نظام الضحية، بما في ذلك مراقبة الشاشة والتحكم في الماوس ولوحة المفاتيح وغيرها الكثير.
دعونا نتعمق في الأوامر المطبقة في البرنامج الضار التي تمكن المحتال من تنفيذ مهام مختلفة على نظام الضحية.
عند إنشاء الاتصال، يرسل البرنامج الضار إشارة إرشادية، يُشار إليها بالرمز "<|PRINCIPAL|>," إلى خادم C2C للإشارة إلى إنشاء الشبكة.
بمجرد اكتمال هذه الخطوة الأولية، يكتسب المحتال سيطرة واسعة على نظام الضحية، وهو قادر على أداء مجموعة واسعة من المهام. أحد الأوامر المهمة هو استخراج معلومات قيّمة عن النظام. يتم تسهيل ذلك من خلال أمر "<| Info |>"، الذي يُستخدم لتصدير التفاصيل الأساسية حول نظام الضحية. تشمل هذه التفاصيل إصدار Windows والموقع الجغرافي والمتصفح النشط حاليًا وصفحة الويب الحالية التي يتم عرضها. إليك رد توضيحي من البرنامج الضار على هذا الأمر، تم إرساله إلى خادم C2C:
"<|Info|>Win 10<|>Bank x<|>Chrome<|>4:04:12 PM<<"
تشير هذه الاستجابة إلى أن نظام الضحية يعمل بنظام التشغيل Windows 10 ويستخدم Chrome ويقوم حاليًا بعرض صفحة ويب من بنك x في الساعة 4:04:12 مساءً.
سرقت هذه المعلومات لعدة أسباب. يمكن أن تسهل معرفة نظام تشغيل جهاز الضحية عملية اختراق النظام بأدوات خبيثة إضافية، حيث إن كل أداة قد تدعم إصدارات مختلفة من النظام، ومعرفة موقع البنك المستهدف للضحية يمكن أن يساعد المحتال على إنجاز هجوم ناجح.
تُعد هجمات التراكب عن بُعد من بين التهديدات الأكثر شيوعًا للحسابات المصرفية للمستخدمين اليوم، مما يشكل مخاطر كبيرة على البنوك وعملائها على حد سواء. جانب حساس في هذه الهجمات يتعلق بتواصل البرنامج الضار مع مشغليه، وهو أمر أساسي في منهجيتها التشغيلية. يُعدّ إنشاء تواصل مباشر وحي أمرًا ضروريًا لتنفيذ مثل هذه الهجمات. تهدف البرمجية الخبيثة من خلال ترميز مثل هذه الاتصالات إلى جعل عملية عكس العملية أكثر صعوبة ووضع لبنة أخرى في جدارها الدفاعي. بصفتنا خبراء أمن سيبراني، هدفنا الأساسي هو مراقبة وتحليل وحجب هذه الاتصالات لمنع تنفيذ الأنشطة الاحتيالية بنجاح.
لحماية أنفسهم، يجب على المستخدمين مراجعة التطبيقات المثبتة لديهم بانتظام، وإزالة أي تطبيقات غير مألوفة أو مشبوهة فوراً.
بالإضافة إلى ذلك، من الضروري مراقبة حسابات البريد الإلكتروني بحثاً عن أي نشاط غير اعتيادي، مثل محاولات تسجيل الدخول غير المتوقعة، ومراقبة محافظ العملات الرقمية عن كثب بحثاً عن أي معاملات غير مصرح بها أو إجراءات غير معروفة. يمكن أن يساعد البقاء الاستباقي والحذر على التخفيف من المخاطر التي يشكلها نموذج الهجوم المتطور هذا.
يساعدك IBM Trusteer على كشف الاحتيال والبرامج الضارة، ومصادقة المستخدمين، وإثبات ثقة الهوية عبر رحلة العميل متعددة القنوات. تعتمد أكثر من 500 مؤسسة رائدة على IBM Trusteer لمساعدة عملائها في تأمين الرحلات الرقمية ودعم نمو الأعمال.
يقدِّم تقرير منصات أمن البيانات من KuppingerCole إرشادات وتوصيات للعثور على منتجات حماية البيانات الحساسة وإدارتها التي تلبي احتياجات العملاء بشكل أفضل.
احصل على رؤى للاستعداد والاستجابة للهجمات الإلكترونية بسرعة وفاعلية أكبر باستخدام IBM X-Force Threat Intelligence Index.
اكتشف الفوائد وعائد الاستثمار لحل IBM® Security Guardium لحماية البيانات في هذه الدراسة التي أجرتها شركة Forrester حول التأثير الاقتصادي الكلي (TEI).
يمكنك الوصول إلى تقرير Gartner® هذا لتتعرف على كيفية إدارة قائمة الذكاء الاصطناعي بالكامل، وتأمين أعباء عمل الذكاء الاصطناعي من خلال الضوابط، والحد من المخاطر، وإدارة عملية الحوكمة لتحقيق الثقة في الذكاء الاصطناعي لجميع حالات استخدامه في مؤسستك.
تعرَّف على استراتيجيات تبسيط وتسريع خارطة طريق مرونة البيانات الخاصة بك مع الالتزام بأحدث متطلبات الامتثال التنظيمي.
اتَّبِع خطوات واضحة لإكمال المهام وتعرَّف على كيفية استخدام التقنيات بفاعلية في مشاريعك.
حماية البيانات عبر بيئات متعددة، وتلبية لوائح الخصوصية وتبسيط التعقيدات التشغيلية.
اكتشف IBM Guardium، وهي مجموعة من برمجيات أمن البيانات التي تحمي البيانات الحساسة في البيئات المحلية والسحابية.
توفر IBM خدمات شاملة لأمن البيانات لحماية بيانات المؤسسة وتطبيقاتها وتقنيات الذكاء الاصطناعي لديها.
تمكَّن من حماية بيانات مؤسستك عبر البيئات السحابية الهجينة وتبسيط متطلبات الامتثال باستخدام حلول أمن البيانات.