تحذيرات من نشر برنامج إلكتروني خبيث يستهدف المهتمين بمتابعة أخبار سوريا
حذرت شركة متخصصة في مجال أمن تقنية المعلومات المستخدمين في الشرق الأوسط وتركيا من برنامج خبيث ينتقل عن طريق منتديات الأخبار أو التواصل الاجتماعي الموجهة سياسياً، وخاصة المرتبطة بالأحداث في سوريا. وأوضحت شركة (كاسبرسكي لاب) في تصريح صحافي أمس إن المهاجمين الذين يعتمدون أساسا على "الهندسة الاجتماعية" يستغلون ثقة المستخدمين في هذه المنتديات وفضولهم لمعرفة آخر الأخبار المتعلقة بالصراع في سوريا، إضافة إلى غياب الوعي حول مفهوم أمن الإنترنت.
ونبهت الشركة إلى أنه بمجرد تمكن مجرمي الإنترنت من إصابة جهاز الكمبيوتر بهذا البرنامج الخبيث، يتمكنون من الدخول إلى أجهزة الضحية والسيطرة على جميع الملفات المخزنة فيها. ولفتت الانتباه إلى أن من أكثر الدول المستهدفة من قبل هذا البرنامج الخبيث المملكة العربية السعودية إلى جانب كل من سوريا وتركيا ولبنان، مقدرة عدد الضحايا بنحو ألفي ضحية. وأشارت "كاسبرسكي لاب" إلى أنها نشرت في السابق تقريراً عن ما يعرف باسم "البرمجيات الخبيثة السورية"، استعرض بالتفصيل العديد من الخدع المستخدمة في سوريا والمنطقة للتجسس على المستخدمين، وكشف ذلك التقرير أيضاً عن هجمات تم شنها عن طريق فرق مختلفة ومصادر عديدة.
وأوضحت الشركة أن خبرائها يحذرون الآن من ملفات خبيثة وجدت على مواقع الناشطين ومنتديات التواصل الاجتماعي، مشيرة إلى أنه تم الإبلاغ عن بعضها من قبل مؤسسات إقليمية مثل (CyberArabs). وأفادت بأن جميع تلك الملفات تكون مخبأة خلف أداة الإدارة عن بعد (RAT)، والتي تمتلك القدرة الكاملة على التحكم بأجهزة وأدوات الضحية ومراقبة أي أنشطة. وذكرت أن مطورو البرنامج الخبيث يلجأون إلى استخدام تقنيات متعددة لدس ملفاتهم وإغواء الضحايا لتشغيلها. سلط خبراء كاسبرسكي لاب الضوء على أمثلة الهندسة الاجتماعية المستخدمة من قبل مجرمي الإنترنت، وذلك بعد تحليلهم المئات من العينات المتعلقة بهذا البرنامج الخبيث، ومن تلك الأمثلة طريقة (Clean your Skype!)، والتي يتم من خلالها تثبيت البرنامج الخبيث عندما يعد المستخدمين بأنه سيقدم لهم وسيلة تنظيف من أجل "حماية وتشفير اتصالاتهم عبر (Skype)، وطريقة (Let us fix your SSL vulnerability) لحماية وإصلاح نقاط الضعف الكامنة في (SSL). كما سلطوا الضوء على طريقة (Did you update to the latest VPN version? )، والتي يتم من خلالها ذكر اسم (Psiphon)، وهو تطبيق نظامي يستخدم في جميع أنحاء العالم لحماية سرية البيانات، لكنه فعلياً يدس برنامجاً خبيثاً)، وطريقة "دعنا نتحقق من وجود رقم هاتفك بين الأرقام التي تخضع للمراقبة"، وكذلك "تطبيق تشفير حساب الفيسبوك".
ونبهوا أيضاً إلى طريقة السؤال عن "ما هو برنامج الحماية المفضل لديك؟، والذي يتم من خلاله استخدام اسم "كاسبرسكي لاب" من قبل مجرمي الإنترنت في محاولة لإغواء الضحية لفتح الملفات التي يقوم المجرمون بتسليمها، ويقوم بعد ذلك مجرمو الإنترنت بتسليم أداة (TDSSKiller) المجانية والفعالة من "كاسبرسكي" لتتبع وإزالة أدوات الجذر (Rootkits)، من طريق قنواتهم المثبتة في برنامجهم الخبيث. وأوضحت الشركة أنه أدوات الجذر (Rootkits) تعتبر برامج تعمل على إخفاء البرامج الخبيثة في النظام؛ ونظراً لأن أداة الإدارة عن بعد RAT ليست "rootkit"، فلا يتم التعرف عليها بواسطة هذه الأداة).
وحذرت الشركة من أن موقع (thejoe.publicvm.com) يرتبط بالكثير من هذه النماذج، وربما يعتبر من أكثر المواقع الخبيثة النشطة حديثاً، وقد أوقع عدداً كبيراً من الضحايا الذين يقدر عددهم بالآلاف، سواء المستهدفين منهم أو غير المستهدفين. كما حذرت من أنه إلى جانب الأمثلة التي وردت سابقاً، يستخدم (Joe) قناة Youtube وهمية في الأماكن التي يدس فيها أفلام فيديو الهندسة الاجتماعية الجديدة، ويوزع ملفات البرنامج الخبيث تحت اسم "أسود الثورة - Lions of the revolution". وتوقع خبراء "كاسبرسكي لاب" استمرار هذه الهجمات وتطورها من حيث الجودة والكمية. و تعتمد البرمجيات الخبيثة السورية بقوة على الهندسة الاجتماعية والتطوير الفاعل لبدائل البرنامج الخبيث. ومع ذلك، فإن معظم الملفات تكشف وبشكل سريع عن طبيعة تلك البرمجيات الحقيقية عندما يتم فحصها بعناية. يتعين على المستخدمين في المنطقة توخي المزيد من الحذر حول نوع الملفات التي يقومون بتحميلها، وينبغي عليهم الحصول على حلول الحماية الشاملة على الإنترنت من مثل حلول Kaspersky Endpoint Security for Business و Kaspersky Internet Security للأجهزة المتعددة. كما يجب على المستخدمين أيضا القيام بتحميل البرامج من المصادر الموثوقة والمواقع الرسمية.