تم تحليل حملة حديثة من البرمجيات الخبيثة من قبل خبراء شركة Kaspersky. تتضمن هذه الحملة برمجية Zanubis، وهي برمجية خبيثة مصرفية من نوع حصان طروادة، تتميز بقدرتها على التنكر كتطبيقات شرعية. 

وتم أيضًا تسليط الضوء على أدوات أخرى تشمل أداة التشفير والتحميل AsymCrypt وأداة سرقة البيانات Lumma.

وظهرت برمجية Zanubis لأول مرة في أغسطس 2022، حيث استهدفت مستخدمي الخدمات المالية ومتداولي العملات المشفرة في بيرو. تقوم هذه البرمجية بالتظاهر بأنها تطبيقات شرعية على نظام Android وتستدرج الضحايا لمنحها أذونات الوصول.

وفي أبريل 2023، ظهرت Zanubis متنكرة كتطبيق رسمي لهيئة الجمارك البيروفية SUNAT، مما زاد من تعقيد الأمور. بعد الحصول على إذن الوصول، تحمّل البرمجية موقع SUNAT الحقيقي، مما يظهرها كتطبيق شرعي. تستخدم Zanubis أيضًا أداة Obfuscapk لإخفاء حقيقتها.

وتعتمد Zanubis على بروتوكول WebSockets ومكتبة Socket.IO للتواصل مع خادم تحكمها، مما يسمح لها بالبقاء متصلة حتى عند وجود مشكلات.

بالإضافة إلى ذلك، لا تستهدف Zanubis قائمة ثابتة من التطبيقات، بل يمكن برمجتها بمنزلة لسرقة البيانات عند تشغيل تطبيقات محددة. تقوم أيضًا بإنشاء اتصال ثاني يمكن أن يمنح المجرمين السيطرة الكاملة على أجهزة الضحايا، ويمكنها أيضًا تعطيل أجهزة الضحايا.

تم اكتشاف أداة التشفير والتحميل AsymCrypt التي تستهدف محافظ العملات المشفرة. يتم بيع هذه الأداة في المنتديات السرية عبر الإنترنت.

أيضًا تم الكشف عن أداة سرقة البيانات Lumma، التي تعد سلالة من برمجيات الاختراق السيبراني والتي كانت تعرف سابقًا باسم Arkei. تقوم Lumma بالتنكر على أنها أداة تحويل ملفات من صيغة docx إلى pdf، ثم تفعل حمولة خبيثة عند تحويل الملفات إلى ملفات بصيغة .pdf.exe المزدوجة. تقوم هذه الأداة بسرقة الملفات المؤقتة وملفات الإعداد والسجلات من محافظ العملات المشفرة، ويمكنها العمل كإضافة لمتصفح الويب أو تأثير التطبيق المستقل لمنصة التداول Binance.

بشكل عام، يظهر هذا الاكتشاف التحديات المستمرة التي تواجه الشركات في مجال الأمان الرقمي وضرورة مواجهة تهديدات سيبرانية متطورة بشكل مستدام. تعتبر التقارير التحليلية مهمة لفهم أحدث التكتيكات والأدوات الخبيثة التي يستخدمها المهاجمون والحفاظ على الأمان الرقمي.