تنبه كاسبرسكي لاب المستخدمين في الشرق الأوسط وتركيا من برنامج خبيث ينتقل عن طريق منتديات الأخبار أو التواصل الاجتماعي الموجهة سياسياً. ويستغل المهاجمون، الذين يعتمدون أساسا على الهندسة الاجتماعية، ثقة المستخدمين في هذه المنتديات وفضولهم لمعرفة آخر الأخبار المتعلقة بالصراع في سوريا، بالإضافة إلى غياب الوعي حول مفهوم أمن الإنترنت. وبمجرد تمكن مجرمي الإنترنت من إصابة جهاز الكمبيوتر بهذا البرنامج الخبيث، يتمكنون من الدخول إلى أجهزة الضحية والسيطرة على جميع الملفات المخزنة فيها. واللافت أن من أكثر الدول المستهدفة من قبل هذا  البرنامج الخبيث هي سوريا وتركيا ولبنان والمملكة العربية السعودية. ويقدر عدد الضحايا بنحو 2000 ضحية.

وقد أصدرت كاسبرسكي لاب في السابق تقريراً عن ما يعرف باسم البرمجيات الخبيثة السورية، استعرض بالتفصيل العديد من الخدع المستخدمة في سوريا والمنطقة للتجسس على المستخدمين. كشف التقرير كذلك عن هجمات تم شنها عن طريق فرق مختلفة ومصادر عديدة. والآن يطلق خبراء الشركة تحذيراً حول ملفات خبيثة وجدت على مواقع الناشطين ومنتديات التواصل الاجتماعي، وقد تم الإبلاغ عن بعضها من قبل مؤسسات إقليمية مثل CyberArabs. جميع تلك الملفات مخبأة خلف أداة الإدارة عن بعد (RAT) والتي تمتلك القدرة الكاملة على التحكم بأجهزة وأدوات الضحية ومراقبة أي أنشطة.

يلجأ مطورو البرنامج الخبيث إلى استخدام تقنيات متعددة لدسّ ملفاتهم وإغواء الضحايا لتشغيلها. وبعد تحليل المئات من العينات المتعلقة بهذا البرنامج الخبيث، يسلط خبراء كاسبرسكي لاب الضوء على أمثلة الهندسة الاجتماعية التالية المستخدمة من قبل مجرمي الإنترنت:

1. Clean your Skype! (يتم تثبيت البرنامج الخبيث عندما يعد المستخدمين بأنه سيقدم لهم وسيلة تنظيف من أجل “حماية وتشفير اتصالاتهم عبر Skype”)

2. Let us fix your SSL vulnerability (“لحماية وإصلاح نقاط الضعف الكامنة في SSL”)

3. Did you update to the latest VPN version?  (يتم ذكر اسم Psiphon، وهو تطبيق نظامي يستخدم في جميع أنحاء العالم لحماية سرية البيانات، لكنه فعلياً يدسّ برنامجاً خبيثاً)

4. دعنا نتحقق من وجود رقم هاتفك بين الأرقام التي تخضع للمراقبة.

5. تطبيق تشفير حساب الفيسبوك

6. ما هو برنامج الحماية المفضل لديك؟ (يتم استخدام اسم كاسبرسكي لاب من قبل مجرمي الإنترنت في محاولة لإغواء الضحية لفتح الملفات التي يقوم المجرمون بتسليمها. يقوم بعد ذلك مجرمو الإنترنت بتسليم أداة TDSSKiller المجانية والفعالة من كاسبرسكي لتتبع وإزالة أدوات الجذر (Rootkits)، عن طريق قنواتهم المثبتة في برنامجهم الخبيث. وتعتبر أدوات الجذر (Rootkits) برامج تعمل على إخفاء البرامج الخبيثة في النظام؛ ونظراً لأن  أداة الإدارة عن بعد RAT ليست “rootkit”، فلا يتم التعرف عليها بواسطة هذه الأداة). 

يرتبط موقع: thejoe.publicvm.com بالكثير من هذه النماذج، وربما يعتبر من أكثر المواقع الخبيثة النشطة حديثاً: وقد أوقع عدداً كبيراً من الضحايا الذين يقدر عددهم بالآلاف، سواء المستهدفين منهم أو غير المستهدفين.  إلى جانب الأمثلة التي وردت سابقاً، يستخدم Joe قناة Youtube وهمية في الأماكن التي يدسّ فيها أفلام فيديو الهندسة الاجتماعية الجديدة ويوزّع ملفات البرنامج الخبيث تحت اسم “أسود الثورة – Lions of the revolution”.   

يتوقع خبراء كاسبرسكي لاب استمرار هذه الهجمات وتطورها من حيث الجودة والكمية. وتعتمد البرمجيات الخبيثة السورية بقوة على الهندسة الاجتماعية والتطوير الفاعل لبدائل البرنامج الخبيث. ومع ذلك، فإن معظم الملفات تكشف وبشكل سريع عن طبيعة تلك البرمجيات الحقيقية عندما يتم فحصها بعناية. يتعين على المستخدمين في المنطقة توخي المزيد من الحذر حول نوع الملفات التي يقومون بتحميلها، وينبغي عليهم الحصول على حلول الحماية الشاملة على الإنترنت من مثل حلول Kaspersky Endpoint Security for Business  و Kaspersky Internet Security للأجهزة المتعددة. كما يجب على المستخدمين أيضا القيام بتحميل البرامج من المصادر الموثوقة والمواقع الرسمية.

لقراءة التقرير الأصلي من هنا