تستمر برمجية (Grandoreiro) الخبيثة في تشكيل تهديد خطير للقطاع المصرفي، بالرغم من الجهود المبذولة للتصدي لها. حيث أشار فريق البحث والتحليل العالمي (GReAT) في شركة كاسبرسكي إلى ظهور إصدار جديد من هذه البرمجية يستهدف نحو 30 مؤسسة مالية في المكسيك.
يأتي هذا التطور بعد اعتقال عدد من أبرز مشغلي هذه البرمجية في بداية العام الحالي. وتُعتبر برمجية (Grandoreiro) واحدة من أخطر التهديدات التي تواجه القطاع المصرفي، حيث تمثل نحو 5% من هجمات أحصنة طروادة المصرفية على مستوى العالم.
وتُعد المكسيك من بين الدول الأكثر استهدافًا من قبل متغيرات برمجية (Grandoreiro) الخبيثة، حيث تم تسجيل 51 ألف حادثة هذا العام، مما يؤكد على أهمية اليقظة المستمرة لمواجهة التهديدات المتطورة في مجال الأمن السيبراني.
برمجية (Grandoreiro) الخبيثة.. تطور مستمر وتوسع جغرافي:
بدأت برمجية (Grandoreiro) نشاطها منذ عام 2016، ومنذ ذلك الحين واصلت التطور والتوسع لتشمل العديد من البلدان حول العالم. ففي عام 2025 وحده، استهدفت هذه البرمجية أكثر من 1,700 مؤسسة مالية و276 محفظة للعملات الرقمية في 45 دولة، وفقًا لما ذكرته شركة كاسبرسكي.
وبعد تعاون الإنتربول مع السلطات البرازيلية في اعتقال مشغلي برمجية (Grandoreiro)، اكتشف خبراء كاسبرسكي أن قاعدة البرمجية قد قُسمت إلى إصدارات مجزأة أخف وزنًا لمواصلة الهجمات.
كما تم تحديد إصدار جديد يركز بنحو خاص على المكسيك، حيث تم استهداف حوالي 30 مؤسسة مالية. ويُتوقع أن يتمكن صانعو البرمجيات من الوصول إلى الكود المصدري وإطلاق حملات جديدة باستخدام الإصدارات المبسطة لبرمجيات قديمة.
وفي هذا السياق، صرح فابيو أسوليني، رئيس فريق (GReAT) في منطقة أمريكا اللاتينية في كاسبرسكي، قائلًا: “تؤكد جميع التطورات الأخيرة على الطبيعة المتطورة لهذا التهديد. الإصدارات المجزأة قد تمثل توجهًا نحو الانتشار إلى مناطق أخرى تتجاوز أميركا اللاتينية. ومع ذلك، نعتقد أن مجموعة من الجهات التابعة المؤمنة هي الوحيدة القادرة على الوصول إلى الكود المصدري لتطوير هذه الإصدارات الخفيفة الوزن. برمجية (Grandoreiro) تعمل بشكل مختلف عن نماذج البرمجيات الخبيثة كخدمة التقليدية التي اعتدنا عليها، إذ لا توجد إعلانات لبيع حزمة البرمجيات على المنتديات السرية، مما يشير إلى محدودية الوصول إليها.
تقنيات جديدة ومبتكرة:
تشكل الإصدارات المختلفة من برمجية (Grandoreiro) بما فيها الإصدار الجديد، حوالي 5% من هجمات حصان طروادة المصرفية العالمية التي اكتشفها كاسبرسكي في عام 2025، مما يجعلها من التهديدات النشطة على مستوى العالم.
كما قامت كاسبرسكي بتحليل أحدث العينات من الإصدار الرئيسي للبرمجية لعام 2025، ولاحظت نمطًا جديدًا في سلوك البرمجية. إذ تقوم البرمجية بتسجيل نشاط الفأرة لمحاكاة أنماط المستخدم الحقيقية بهدف تجنب الاكتشاف من قبل أنظمة التحليل السلوكي القائمة على التعلم الآلي. وتهدف من خلال إعادة تشغيل حركات الفأرة الطبيعية لخداع أدوات مكافحة الاحتيال لتصنيف النشاط بأنه قانوني.
بالإضافة إلى ذلك، اعتمدت برمجية (Grandoreiro) تقنية تشفير تُعرف باسم سرقة النص المشفر (CTS)، ولم تسجل شركة كاسبرسكي استخدامها في برمجيات خبيثة من قبل. وفي هذه الحالة، تركز البرمجية على تشفير سلاسل الأكواد الخبيثة.
وأضاف أسوليني: “تتميز برمجية (Grandoreiro) بهيكلة معقدة، مما يسهل على الأدوات الأمنية أو المحللين اكتشاف كونها سلاسل غير مشفرة. ويبدو أن هذا هو السبب وراء تبنيهم لهذه التقنية الجديدة لتصعيب عملية الكشف عن هجماتهم وتحليلها”.
وصايا خبراء كاسبرسكي:
لحماية المؤسسات من البرمجيات الخبيثة المالية، يوصي خبراء كاسبرسكي باتباع الإرشادات التالية:
- تفعيل سياسة الرفض الافتراضي لحسابات المستخدمين المهمة، وخصوصًا تلك الموجودة في الأقسام المالية، لضمان حصر الوصول على الموارد الموثوقة فقط.
- توفير تدريب مستمر للموظفين، خاصة المسؤولين عن المحاسبة، مع التأكيد على أهمية اكتشاف صفحات التصيد الاحتيالي.
- استخدام حلول حماية لخوادم البريد الإلكتروني المزودة بقدرات مكافحة التصيد الاحتيالي مثل Kaspersky Security for Mail Server لتقليل فرص الإصابة من خلال الرسائل البريدية المضللة.
بينما ينبغي على البنوك تثقيف عملائها، يُنصح الأفراد باتباع التعليمات التالية:
- تجنب الروابط أو المرفقات في الرسائل غير المتوقعة أو المشبوهة، والانتباه إلى تفاصيل صفحات الويب.
- استعمال حل أمني موثوق، مثل Kaspersky، الذي يحمي الأصول الرقمية من مجموعة متنوعة من التهديدات السيبرانية المالية.
- تحميل التطبيقات فقط من مصادر موثوقة.
- عدم منح أذونات للتطبيقات قبل التأكد من أنها تتوافق مع احتياجات المستخدم.
- تحديث البرمجيات المستخدمة بانتظام للحصول على أحدث الإصلاحات.
يُذكر أن فريق (GReAT) قد أشار إلى برمجية (Grandoreiro) الخبيثة في النسخة السادسة عشرة من مؤتمر الأمن السيبراني، الذي يعقد حاليًا في بالي ويستمر حتى 25 أكتوبر الجاري.
