اكتشف الباحثون في كاسبرسكي لاب بديلاً جديداً لبرمجية تروجان زيوس الخبيثة، يدعى كثونيك، واسمه مشتق من أساطير إغريقية قديمة، ويستهدف ١٥٠ بنكاً و٢٠ نظام دفع في ١٥ دولة.
ويعتبر زيوس ملك البرامج الخبيثة التي تستهدف البنوك، وكانت بداية ظهوره في ٢٠٠٧، حيث أخذ يؤثر بالتأثير على الحسابات المصرفية الإلكترونية منذ ذلك الوقت. وقام مبرمجوه عام ٢٠١١ بنشر رمز مصدره للجميع، ويبدو الأمر بأن هذه نهاية زيوس، إلا أن الواقع هو العكس تماماً. حيث حفز رمز مصدر زيوس المبرمجين المجرمين لإنشاء نماذج مصممة بشكل جديد مثل جيم أوفر، زيتمو، وغيرها من التهديدات.
وتقوم آلية عمل كثونيك على إصابة الجهاز المستضيف، ومن ثم يبدأ بجمع المعلومات وسرقة كلمات المرور المخزنة، وبيانات الدخول، ويوفر إمكانية الدخول للكمبيوتر عن بعد، كما يمتلك قدرة تفعيل أجهزة الكاميرا ومسجلات الصوت عن بعد على الأجهزة المصابة. ويتركز الهدف من سرقة هذه البيانات في عاملين: سرقة بيانات الدخول إلى الحسابات المصرفية الإلكترونية، والسماح للمهاجمين بالتحكم بأجهزة الضحايا وذلك للتحكم بالتحويلات المالية المحتالة.
ومثل برامج تروجان الخبيثة السابقة، فإن كثونيك تكنيك الإصابة ببرمجيات خبيثة على المواقع الإلكترونية، وذلك بهدف استبدال الواجهة المصرفية القانونية بواجهة أخرى مع رمز جديد. ويقوم بعدها عملاء المصرف دون علم بتسليم بيانات دخولهم إلى المجرمين الذين يقفون خلف هذا البرنامج الخبيث، ولا يدركون استبدال صفحة دخولهم إلى الحساب المصرفي ببديل خبيث. ومن فوائد هذه الوسيلة أيضاً قدرة المجرمين على سرقة عامل التحقق المزدوج، مثل كلمات المرور التي يتم إرسالها لمرة واحدة، ورموز الرسائل النصية، حيث يدخلها المستخدم إلى المتصفح المصاب في الوقت الحقيقي.
يستهدف برنامج “كثونيك” البديل لبرنامج “زيوس” ١٥٠ بنكاً و٢٠ نظام دفع في ١٥ دولة
Tweet
ويستهدف كثونيك بشكل رئيسي المؤسسات في المملكة المتحدة وإسبانيا والولايات المتحدة وروسيا واليابان وإيطاليا. ويقوم البرنامج الخبيث في اليابان بإصدار تنبيه أمني مصرفي مع نص يتيح للمهاجمين تنفيذ التحويلات على حساب المستخدمين. وفي روسيا لا يستطيع المستخدمون الوصول إلى مواقع حساباتهم المصرفية بسبب قيام كثونيك بتثبيت نموذج يقوم بتحويل المستخدمين إلى صفحة احتيال وهمية.
ومن ناحية أخرى، فقبل حصول السرقة الفعلية للبيانات المصرفية، يتوجب على المستخدم الإصابة ببرنامج كثونيك الخبيث نفسه. وكحال أي برنامج خبيث آخر، يقوم كثونيك بإصابة أجهزة المستخدمين عبر روابط مواقع خبيثة ومرفقات رسائل إلكترونية. وفي أي من الحالات، يقوم الهجوم بتحميل ملف .DOC خبيث على أجهزة الضحايا. ويحتوي هذا الملف على رمز بنص غني يقوم بنشر رمز عن بعد لاختراق في مايكروسوفت أوفيس تم إصلاحه في أبريل. ولا يعمل البرنامج الخبيث على الأجهزة المحدثة، كما أن مستخدمي منتجات كاسبرسكي لاب محميون من هذا التهديد أيضاً.