الفئة: ذكاء البرامج الضارةالنوع/العائلة: بوت نتالصناعة: الخدمات المالية والمصرفيةالمنطقة: عالميمصدر*: C3

ملخص تنفيذي

تهديدتأثيرتخفيف

• تم الإعلان عن روبوت Apollo OTP في منتدى الجرائم الإلكترونية.
• روبوت قائم على Discord قادر على إجراء مكالمات مخادعة باستخدام Google Voice.

• يمكن استخدام OTP الملتقط لتجاوز 2FA والحصول على وصول كامل إلى الحسابات المصرفية.

• تنفيذ تقنيات وخوارزميات الكشف عن الروبوتات.
• تحقق من شرعية المتصل قبل إعطاء المعلومات الحيوية.

التحليل والإسناد

معلومات من البريد

• كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت منشورًا على منتدى الجرائم الإلكترونية يعلن عن Apollo OTP Bot.
• بدأت خدمة الروبوت عملياتها على Telegram في مارس 2022 واكتسبت عددًا كبيرًا من المتابعين بين مجرمي الإنترنت.
• يوفر الروبوت نفس الميزات مثل الروبوتات الأخرى في السوق مثل Generaly OTP Bot. وتشمل هذه سرقة OTP واستخدام بنية تحتية شرعية لإجراء العمليات.
• يستخدم الروبوت وحدات مختلفة لتسهيل الخدمات: استهداف تطبيقات التشفير ومتاجر التجارة الإلكترونية وما إلى ذلك.
• حدد الممثل سعرًا يبدأ من 20 دولارًا أمريكيًا في الساعة لخدمات الروبوت.

[معرف التسمية التوضيحية = «المرفق _20834" align= «alignnone» width="1375"] إعلان ممثل التهديد في المنتدى [/caption]

اقرأ أيضًا بشكل عام، إعداد روبوت OTP لتجاوز MFA الذي يؤثر على خدمات P2P

معلومات من مصدر حساس

تمكن مصدر حساس على اتصال مع الفاعل المهدد من الحصول على بعض عينات الروبوتات من الفاعل، وتأكد من طريقة العمل التالية:

طريقة العمل

• يقدم الممثل معلومات الضحية إلى الروبوت. في هذه الحالة، يتم إدخال رقم الهاتف (باستخدام أمر بوت).
• يتم استخدام برنامج نصي مخصص تم اختياره من قبل الممثل لتوجيه المحادثة. تتوفر نصوص متعددة للاختيار.
• سيحتاج الممثل إلى معرفة ما يلي:
  • طول رمز OTP
  • اسم الضحية
  • اسم النشاط التجاري (يتم استخدامه للتنكر كنشاط تجاري شرعي).
• ينتحل الروبوت شخصية كيان شرعي (بنك، متجر للتجارة الإلكترونية، إلخ) عن طريق إجراء مكالمة مزيفة من رقم خدمة العملاء المجاني إلى الهدف المقصود.
• يُطلب من الضحية الضغط على «1" على هاتفه المحمول.
• بمجرد أن تثق الضحية في الروبوت وتدخل OTP من الرسالة القصيرة، يستلمها الروبوت.
• تم التقاط OTP بنجاح وعرضه على شاشة برنامج Discord bot.

ميزات البوت

الروبوت قادر على تنفيذ العمليات التالية:

• انتحال الأرقام - ترى الضحية رسالة «عدم معرف المتصل» بدلاً من رقم الهاتف.
• استخدام صوت بوت مخصص (مثال الأوامر - /استخدام الصوت - NJennyNeural).
• باستخدام لهجات مختلفة، واحدة من الأخرى عروض صوتية من مشغلي البوت.
• فحص الناقل (. الناقل) - يقوم الروبوت بمصادر المعلومات الأساسية التالية وعرضها عن الرقم المستهدف الذي أدخله ممثل التهديد.
  • اسم شركة الاتصالات
  • ما إذا كان الرقم ثابتًا
  • ما إذا كان الرقم قد تم نقله
• إجراء مكالمات صوتية كأي شركة (بتيسير من Google Voice).
• اكتشاف البريد الصوتي - إذا انتقلت مكالمة أجراها الروبوت إلى البريد الصوتي، فسيتم قطع الاتصال بالمكالمة.
• الاتصال الدولي
• وحدة تجاوز PGP (.call PGP) - يتم استخدامها للاتصال بالضحية برقم مزيف وإعادة توجيه المكالمة إلى الروبوت، دون السماح للضحية بمعرفة ذلك.
• وحدة الاستدعاء (.call recall) - لاستدعاء رقم.
• مفتاح OTP (مفتاح API) - يستخدم لتشغيل الروبوت. يتم إعادة تخزين المفاتيح وعرضها للبيع، في كل مرة يطلبها الممثل.
• أنماط سرقة CVV و Pin التي تشكل تهديدات للصناعة المصرفية والمالية.
• استهداف آلية ترخيص Google (باستخدام الأمر - /قياس وضع الاتصال) - يتصل الروبوت بالضحية ويطلب منها إدخال رمز Gauth الذي يتم إرساله إلى المهاجم واستخدامه للوصول إلى حساب Google الخاص بالضحية.
• إجراء التحويلات المصرفية دون أي تلميح للشك في الحسابات.
• إجراء عمليات شراء على مواقع التجارة الإلكترونية. يُظهر العديد من الأشخاص الذين يشهدون الروبوت دليلاً على ذلك.
• شن هجمات على مستخدمي تطبيقات الدفع (مثل Paypal و Venmo و Coinbase (crypto) و Quadpay وما إلى ذلك) من خلال أخذ الحساب وعدد الضحايا المرتبطين بالحساب كمدخلات.
• يوفر الروبوت أيضًا خدمات قاذفات الرسائل القصيرة وسجلات البريد الإلكتروني.

هيكل التسعير

• يستخدم مشغلو الروبوت العديد من منتديات الجرائم الإلكترونية للترويج لعروضهم. تمت ملاحظة مثال لإعلانهم في سوق clearnet.
• تم توفير هيكل التسعير التالي من قبل المشغلين.

[معرف التسمية التوضيحية = «المرفق 20835" align= «alignnone» width="891"] هيكل التسعير لبوت أبولو [/caption]

البنية التحتية لديسكورد

يمتلك مشغلو الروبوت خادم Discord مخصص لطرح الاستفسارات واستخدام الروبوت في الوقت الفعلي. كان خادم Discord يضم 392 عضوًا، في وقت صياغة هذا التقرير. يحتوي الخادم على القنوات التالية:

• #vouches - قناة مخصصة للمستخدمين لتقديم مراجعاتهم للبوت. تم ضمان معدل النجاح المرتفع لزيارات OTP من قبل العديد من العملاء.
• #support - قناة يستخدمها العملاء المحتملون لفتح التذاكر لطرح الاستفسارات. يعالج مشغل الروبوت (مستخدم يدعى «donkey») هذه الاستعلامات.
• #redeem - أ القناة المستخدمة من قبل الجهات الفاعلة في مجال التهديد للوصول إلى الروبوت بعد الدفع مقابل خطة الشراء.
• #code -النجاح - قناة لعرض OTP الملتقط. لمنع الارتباك، يحدد الروبوت اسم المستخدم للمستخدم الذي كان يقوم بتشغيل الروبوت في ذلك الوقت المحدد والذي يعد OTP المسروق مفيدًا له.

اقرأ أيضًا طريقة عمل مرتجلة لاستهداف عملاء البنوك الهندية عبر البرامج الضارة لإعادة توجيه الرسائل القصيرة

نشاط وتصنيف الجهات الفاعلة في مجال التهديد

تحديد سمات الجهات الفاعلة في مجال التهديدنشط منذ مارس 2022 ReputationLow (شكاوى ومخاوف متعددة في المنتدى) الحالة الحالية لدى ActiveHistory تاريخ صالح في بيع قوائم المجموعات وخدمات تكوين الألعاب. نقطة الاتصال Telegram و Discord. استخدم المشغلون في البداية Telegram، كوسيلة لدفع التحديثات اليومية حول الروبوت. تضم المجموعة حاليًا 1051 عضوًا. هذه المجموعة لديها نشاط محدود، الآن بعد أن أجريت جميع المناقشات النشطة على Discord.ratingC3 (C: موثوقة إلى حد ما؛ 3: ربما تكون صحيحة)

التأثير والتخفيف

التأثيرالتخفيف

• يمكن إساءة استخدام OTP الذي تم التقاطه بواسطة الروبوت لإجراء عمليات السحب والحفاظ على الثبات وما إلى ذلك.
• يمكن استخدام الروبوت لتجاوز آليات 2FA والحصول على وصول كامل إلى الحسابات عبر الإنترنت/المصرفية.

• قم بتطبيق تقنيات وخوارزميات الكشف عن الروبوتات لمنع حالات الاحتيال الآلي.
• خلق الوعي ضد أساليب الهندسة الاجتماعية.
• اطرح الأسئلة الصحيحة وتحقق من شرعية الشخص المتصل، قبل إعطاء معلومات حيوية أو حساسة

المراجع

• *مصدر الذكاء وموثوقية المعلومات - ويكيبيديا
• ^#بروتوكول إشارات المرور - ويكيبيديا

الملحق

[معرف التسمية التوضيحية = «المرفق _20836" aligncenter «العرض = «1384"] إعلانات الخدمة على منتديات الجرائم الإلكترونية الأخرى - حيث يتمتع ممثل التهديد بسمعة عالية، تساعد على تحقيق المزيد من المبيعات [/caption] [معرف التسمية التوضيحية = «المرفق 20837" align= «alignnone» width="697"] ملاحظات المستخدم لبوت أبولو [/caption] [معرف التسمية التوضيحية = «المرفق 20838" align= «alignnone» width="743"] قناة #support للعملاء لفتح التذاكر أو الرد على أي استفسارات [/caption] [معرف التسمية التوضيحية = «المرفق 20839" align= «alignnone» width="784"] يتم استخدام قناة #redeem من قبل ممثل التهديد للوصول إلى الروبوت، بعد الدفع مقابل خطة الشراء [/caption]

[معرف التسمية التوضيحية = «المرفق 20840" align= «alignnone» العرض = «407"] تقوم قناة #code -success بالتقاط وعرض رمز OTP الذي تمت سرقته [/caption] [معرف التسمية التوضيحية = «المرفق _20841" align= «alignnone» العرض = «943"] نقطة الاتصال لممثل التهديد [/caption] [معرف التسمية التوضيحية = «المرفق _20842" align= «alignnone» العرض = «887"] معلومات الأصوات التي تم إنشاؤها مسبقًا [/caption] [معرف التسمية التوضيحية = «المرفق _20843" align= «alignnone» width="551"] تعليمات استخدام البرنامج النصي المخصص [/caption] [معرف التسمية التوضيحية = «المرفق 20844" align= «alignnone» width="1044"] تم إجراء معاملة التجارة الإلكترونية بقيمة 1,700 دولار أمريكي باستخدام وظيفة تجاوز OTP الخاصة بالروبوت [/caption] [معرف التسمية التوضيحية = «المرفق 20845" align= «alignnone» width="552"] مثال اكتشف فيه الروبوت أن المكالمة ذهبت إلى البريد الصوتي، بدلاً من أن يحضرها إنسان حقيقي. استغرقت مدة المكالمة أقل من ثانية واحدة [/caption] [معرف التسمية التوضيحية = «المرفق _20846" align= «alignnone» width="592"] أوامر روبوت أبولو [/caption] [معرف التسمية التوضيحية = «المرفق 20847" align= «alignnone» width="295"] لقطة شاشة للأنشطة التي أجراها الروبوت أثناء تشغيله [/caption] [معرف التسمية التوضيحية = «المرفق 20848" align= «alignnone» width="435"] قاذفات الرسائل القصيرة الإعلانية وسجلات البريد الإلكتروني [/caption]