حذرت شركة متخصصة في مجال أمن تقنية المعلومات المستخدمين في الشرق الأوسط وتركيا من برنامج خبيث ينتقل عن طريق منتديات الأخبار أو التواصل الاجتماعي الموجهة سياسياً، وخاصة المرتبطة بالأحداث في سورية.
وأوضحت شركة (كاسبرسكي لاب) في تصريح صحافي ان المهاجمين الذين يعتمدون أساسا على "الهندسة الاجتماعية" يستغلون ثقة المستخدمين في هذه المنتديات وفضولهم لمعرفة آخر الأخبار المتعلقة بالصراع في سورية، إضافة إلى غياب الوعي حول مفهوم أمن الإنترنت.
ونبهت الشركة إلى أنه بمجرد تمكن مجرمي الإنترنت من إصابة جهاز الكمبيوتر بهذا البرنامج الخبيث، يتمكنون من الدخول إلى أجهزة الضحية والسيطرة على جميع الملفات المخزنة فيها.
ولفتت الانتباه إلى أن من أكثر الدول المستهدفة من قبل هذا البرنامج الخبيث المملكة إلى جانب كل من سورية وتركيا ولبنان، مقدرة عدد الضحايا بنحو ألفي ضحية.
وأوضحت الشركة أن خبراءها يحذرون الآن من ملفات خبيثة وجدت على مواقع الناشطين ومنتديات التواصل الاجتماعي، مشيرة إلى أنه تم الإبلاغ عن بعضها من قبل مؤسسات إقليمية مثل (CyberArabs).
وأفادت بأن جميع تلك الملفات تكون مخبأة خلف أداة الإدارة عن بعد (RAT)، والتي تمتلك القدرة الكاملة على التحكم بأجهزة وأدوات الضحية ومراقبة أي أنشطة.
وذكرت أن مطوري البرنامج الخبيث يلجأون إلى استخدام تقنيات متعددة لدس ملفاتهم وإغواء الضحايا لتشغيلها.
هذا وسلط خبراء كاسبرسكي لاب الضوء على أمثلة الهندسة الاجتماعية المستخدمة من قبل مجرمي الإنترنت، وذلك بعد تحليلهم المئات من العينات المتعلقة بهذا البرنامج الخبيث، ومن تلك الأمثلة طريقة (Clean your Skype!)، والتي يتم من خلالها تثبيت البرنامج الخبيث عندما يعد المستخدمين بأنه سيقدم لهم وسيلة تنظيف من أجل "حماية وتشفير اتصالاتهم عبر (Skype)، وطريقة (Let us fix your SSL vulnerability) لحماية وإصلاح نقاط الضعف الكامنة في (SSL).
كما سلطوا الضوء على طريقة (Did you update to the latest VPN version? )، والتي يتم من خلالها ذكر اسم (Psiphon)، وهو تطبيق نظامي يستخدم في جميع أنحاء العالم لحماية سرية البيانات، لكنه فعلياً يدس برنامجاً خبيثاً)، وطريقة "دعنا نتحقق من وجود رقم هاتفك بين الأرقام التي تخضع للمراقبة"، وكذلك "تطبيق تشفير حساب الفيسبوك".
ونبهوا أيضاً إلى طريقة السؤال عن "ما هو برنامج الحماية المفضل لديك؟، والذي يتم من خلاله استخدام اسم "كاسبرسكي لاب" من قبل مجرمي الإنترنت في محاولة لإغواء الضحية لفتح الملفات التي يقوم المجرمون بتسليمها، ويقوم بعد ذلك مجرمو الإنترنت بتسليم أداة (TDSSKiller) المجانية والفعالة من "كاسبرسكي" لتتبع وإزالة أدوات الجذر (Rootkits)، من طريق قنواتهم المثبتة في برنامجهم الخبيث.
وأوضحت الشركة أن أدوات الجذر (Rootkits) تعتبر برامج تعمل على إخفاء البرامج الخبيثة في النظام؛ ونظراً لأن أداة الإدارة عن بعد RAT ليست "rootkit"، فلا يتم التعرف عليها بواسطة هذه الأداة).
وحذرت الشركة من أن موقع (thejoe.publicvm.com) يرتبط بالكثير من هذه النماذج، وربما يعتبر من أكثر المواقع الخبيثة النشطة حديثاً، وقد أوقع عدداً كبيراً من الضحايا الذين يقدر عددهم بالآلاف، سواء المستهدفين منهم أو غير المستهدفين.
كما حذرت من أنه إلى جانب الأمثلة التي وردت سابقاً، يستخدم (Joe) قناة Youtube وهمية في الأماكن التي يدس فيها أفلام فيديو الهندسة الاجتماعية الجديدة، ويوزع ملفات البرنامج الخبيث تحت اسم "أسود الثورة - Lions of the revolution".
وتوقع خبراء "كاسبرسكي لاب" استمرار هذه الهجمات وتطورها من حيث الجودة والكمية. وتعتمد البرمجيات الخبيثة السورية بقوة على الهندسة الاجتماعية والتطوير الفاعل لبدائل البرنامج الخبيث. ومع ذلك، فإن معظم الملفات تكشف وبشكل سريع عن طبيعة تلك البرمجيات الحقيقية عندما يتم فحصها بعناية. يتعين على المستخدمين في المنطقة توخي المزيد من الحذر حول نوع الملفات التي يقومون بتحميلها، وينبغي عليهم الحصول على حلول الحماية الشاملة على الإنترنت.
