برنامج إلكتروني خبيث يستهدف السعوديين المتابعين لأخبار سوريا

يخترق أجهزة الضحايا عبر مواقع متباينة ويهاجم الشرق الأوسط

حذّرت شركة متخصّصة في مجال أمن تقنية المعلومات، المستخدمين في السعودية والشرق الأوسط وتركيا من برنامج خبيث ينتقل عن طريق منتديات الأخبار أو التواصل الاجتماعي الموجّهة سياسياً، وخاصة المرتبطة بالأحداث في سوريا.

وأوضحت شركة "كاسبرسكي لاب"، إن المهاجمين الذين يعتمدون أساساً على "الهندسة الاجتماعية" يستغلون ثقة المستخدمين بهذه المنتديات وفضولهم لمعرفة آخر الأخبار المتعلقة بالصراع في سوريا، إضافة إلى غياب الوعي حول مفهوم أمن الإنترنت.

ونبّهت الشركة، إلى أنه بمجرد تمكُّن مُجرمي الإنترنت من إصابة جهاز الكمبيوتر بهذا البرنامج الخبيث، يتمكنون من الدخول إلى أجهزة الضحية والسيطرة على جميع الملفات المخزنة فيها.

ولفتت الانتباه إلى أن من أكثر الدول المستهدفة من قِبل هذا البرنامج الخبيث المملكة العربية السعودية، إلى جانب كل من: سوريا وتركيا ولبنان، مقدرة عدد الضحايا بنحو ألفي ضحية.

وأشارت "كاسبرسكي لاب"، إلى أنها نشرت في السابق تقريراً عمّا يُعرف باسم "البرمجيات الخبيثة السورية"، استعرض بالتفصيل عديداً من الخدع المستخدمة في سوريا والمنطقة للتجسس على المستخدمين، وكشف ذلك التقرير أيضاً عن هجمات تمّ شنها عن طريق فرق مختلفة ومصادر عديدة.

وأوضحت الشركة أن خبراءها يحذرون الآن من ملفات خبيثة وُجدت على مواقع الناشطين ومنتديات التواصل الاجتماعي، مشيرة إلى أنه تم الإبلاغ عن بعضها من قِبل مؤسسات إقليمية مثل (CyberArabs).

وأفادت بأن جميع تلك الملفات تكون مخبأةً خلف أداة الإدارة عن بُعد (RAT)، والتي تمتلك القدرة الكاملة على التحكم في أجهزة وأدوات الضحية ومراقبة أي أنشطة، مشيرة إلى أن مطوري البرنامج الخبيث يلجؤون إلى استخدام تقنيات متعدّدة لدس ملفاتهم وإغواء الضحايا لتشغيلها.

وسلّط خبراء "كاسبرسكي لاب" الضوء على أمثلة الهندسة الاجتماعية المستخدمة من قِبل مجرمي الإنترنت، وذلك بعد تحليلهم المئات من العيّنات المتعلقة بهذا البرنامج الخبيث، ومن تلك الأمثلة طريقة (Clean your Skype!)، والتي يتم من خلالها تثبيت البرنامج الخبيث عندما يعد المستخدمين بأنه سيقدم لهم وسيلة تنظيف من أجل "حماية وتشفير اتصالاتهم عبر (Skype)، وطريقة (Let us fix your SSL vulnerability) لحماية وإصلاح نقاط الضعف الكامنة في (SSL).

ووجّهوا الضوء على طريقة (Did you update to the latest VPN version?)، التي يتم من خلالها ذكر اسم (Psiphon)، وهو تطبيق نظامي يستخدم في جميع أنحاء العالم لحماية سرية البيانات، لكنه فعلياً يدس برنامجاً خبيثاً)، وطريقة "دعنا نتحقق من وجود رقم هاتفك بين الأرقام التي تخضع للمراقبة"، وكذلك "تطبيق تشفير حساب الفيسبوك".

ونبّهوا أيضاً إلى طريقة السؤال عن: "ما هو برنامج الحماية المفضل لديك؟"، الذي يتم من خلاله استخدام اسم "كاسبرسكي لاب" من قِبل مجرمي الإنترنت في محاولةٍ لإغواء الضحية لفتح الملفات التي يقوم المجرمون بتسليمها، ويقوم بعد ذلك مجرمو الإنترنت بتسليم أداة (TDSSKiller) المجانية والفعالة من "كاسبرسكي" لتتبع وإزالة أدوات الجذر (Rootkits)، من طريق قنواتهم المثبتة في برنامجهم الخبيث.

وأوضحت الشركة أن أدوات الجذر (Rootkits) تعد برامج تعمل على إخفاء البرامج الخبيثة في النظام؛ ونظراً لأن أداة الإدارة عن بُعد RAT ليست "rootkit"، فلا يتم التعرف عليها بواسطة هذه الأداة.

وحذرت من أن موقع (thejoe.publicvm.com) يرتبط بالكثير من هذه النماذج، وربما يعد من أكثر المواقع الخبيثة النشطة حديثاً، وأوقع عدداً كبيراً من الضحايا الذين يقدر عددهم بالآلاف، سواء المستهدفين منهم أو غير المستهدفين.