في بيان حديث لـ سري ((خدمة الاستخبارات الرومانية) يظهر أنه خلال هذه الفترة قيد التقدم الهجوم السيبراني ما يتعلق عملاء المنصات المصرفية عبر الإنترنت.
بمعنى كل شيء ، عملاء البنوك في رومانيا ، الذين يصلون إلى الخدمة المصرفية عبر الإنترنت على الكمبيوتر الشخصي من خلال الكرومو Microsoft Edge أو Firefox، لديك فرص عالية للغاية للتعرفالوصول إلى بيانات الاعتماد (بيانات الوصول الشخصي على Patform المصرفية المالية) لأولئك الذين شنوا الهجوم. بهذه الطريقة ، سيكون لدى الناس المتعمدين بشكل سيء الوصول إلى الحسابات المصرفيةو بيانات المصادقة في خدمات البريد الإلكتروني و البيانات المالية. لاحظ أن التطبيقات المصرفية عبر الإنترنت لا تتأثر.
تقدم SRI بعض التوصيات لجميع عملاء البنوك باستخدام الخدمات المصرفية عبر الإنترنت:
“- استخدام حلول مكافحة الفيروسات والتحديث المستمر لتوقيعاتهم ؛
– تجنب فتح المرفقات في شكل أرشيف لو أصلهم غير مؤكد وإذا لم يتم فحصهم من قبل مع حلول الكشف عن الفيروسات ؛
– تجنب فتح المرفقات أو الروابط من رسائل البريد الإلكتروني المشبوهة ؛
– تحديث نظام التشغيل وتجنب استخدام أنظمة التشغيل التي لم تعد تتلقى الدعم من الشركة المصنعة ؛
– إخطار البنك عندما تلاحظ المعاملات المصرفية التي لا تنتمي إليك؛
– تعطيل التنفيذ التلقائي من بعض الروتين في MS Office (الماكرو-uri) ؛
– تجنب التنفيذ اليدوي للماكروالمواقع.”
*الإصدار الكامل متاح على سري.
المجموعة التي أطلقت هذا الهجوم السيبراني استخدم واحدة من أنجح تطبيقات البرامج الضارة من العقد الماضي. QBOT.
الشفطهو جزء من عائلة البرامج الضارة (الفيروسات) التي خضعت على مر السنين إلى العديد من التغييرات في مستوى رمز المصدر ، حيث يتم الكمال من قبل مجموعات الجريمة الإلكترونية وفعلت “خفي” للأغلبية برنامج مكافحة الفيروسات.
في بداية QBOT ، تم استخدامه كبساطة فيروس نوع طروادة، قادرة على الاختباء في أشكال مختلفة من الملفات في نظام Windows ، بحيث يمكن بعد ذلك استخراج البيانات السرية ، بما في ذلك المستخدمين ، كلمات مرور المصادقة على منصات الخدمات المصرفية عبر الإنترنت.
في السنوات الأخيرة ، اكتسبت البرامج الضارة QBOT بجانب إمكانات فيروس نوع طروادةوواحد من دُودَة (Virme) ، قادر على الانتشار بمفرده في شبكة بعد أن تمكنت في البداية من اختراق الكمبيوتر فيه. علاوة على ذلك ، فإن التهديد الحالي يوضع في صعوبة الشركات التي تنتج برامج مكافحة الفيروسات. يمكن التحكم في QBOT من مسافة من أ خادم الأوامر إذا كان التحكم (CC)، حيث يتلقى تحديثات منتظمة قادرة على الاختباء وتجاوز السيطرة على برامج مكافحة الفيروسات بسهولة. بما في ذلك التوقيعات الرقمية التي تم اكتشافها “آمن” بواسطة مكافحة الفيروسات. علاوة على ذلك ، فإن البرنامج إذا كان لديه توقيع رقمي ، فهذا لا يعني أنه بالتأكيد ، بالإضافة إلى موقع ويب به HTTPS (SSL) يمكن أن يحتوي على تطبيق أو تنزيل البرامج الضارة. الجزء الأسوأ هو أن التوقيعات الرقمية للتطبيقات وأمان مواقع الويب HTTPs تحدد المتصفح أو نظام التشغيل أو مكافحة الفيروسات بعدم إرسال تنبيهات للمستخدمين. unarticol حول هذا الموضوع “HTTP / HTTPS” يجد هنا.
في بداية QBOT ، تم تسليمه بواسطة الكودPowerShell. يعتمد إطلاقه على الرمز في Visual Basic (VBS) التي كانت الضحية تنفذها. في ذلك الوقت ، تم استهداف الشركات التي تستخدم خدمات البريد الإلكتروني بشكل متكرر. أن تصبح طريقة شائعة لتسلل البرامج الضارة ، تمت مراقبة رموز PowerShell بعناية بواسطة برنامج مكافحة الفيروسات ، وتم تعديل QBOT ، مما يجعله ممكنًا من خلال طرق أخرى يصعب على الاستفادة والاكتشاف.
حاليًا ، يمكن تنفيذ البرامج الضارة QBOT تلقائيًا أو يدويًا بواسطة الضحية من خلال ملف MS Word النحاس الماكرو (مجموعة من التعليمات / الروتين). يأتي هذا الملف عبر البريد الإلكتروني في شكل رسالة “رسمي” و “من الثقة”، والتي بالنسبة لمعظم Eori ليست مشبوهة لبرامج مكافحة الفيروسات. إذا لم تفتح هذه الملفات ، فستكون آمنًا. التالي نصيحة سري، يمكنك الحفاظ على بياناتك السرية / الحساسة.
تذكر ذلك أفضل برنامج مكافحة الفيروسات نكون: حذرو انتباه و وعي.
