تحذير: برمجية خبيثة تنتشر على أنها برنامج لإضافة معجبين لصفحات فيسبوك

تحذير: برمجية خبيثة تنتشر على أنها برنامج لإضافة معجبين لصفحات فيسبوك

Sham like1ينتشر عبر مواقع التواصل الاجتماعي رابط لفيديو على يوتيوب، يشرح عن برنامج لإضافة معجبين لصفحات فيسبوك. البرنامج الذي يتكلم عنه الفيديو: بـرنـامـج شـــام لايك.exe وهو يحتوي على برمجية خبيثة.

في الحقيقة لايوجد أي برنامج يمكنه اضافة معجبين الى صفحات فيسبوك. جل ما يبتغيه الشخص الذي برمج هذه البرمجية هو اختراق الحسابات وتنصيب برامج خبيثة على اجهزتكم. هذا الملف هو نوع جديد من الملفات الخبيثة مختلف عن الملفات التي اكتشفناها سابقاً ومعظم برامج مكافة الفبروسات لم تكتشفه حتى الآن.
لا زلنا نقوم بتحليل الملف، وسنشرح طريقة التخلص منه في حال استخدمتم هذا الملف عن طريق الخطأ فور انتهاء عمليلة التحليل.
ينصح فريق “سايبر آرابز” المستخدمين بتحديث برامج مكافحة الفيروسات لديهم وتجنب فتح الملفات الغريبة التي تصلهم وعدم الضغط على الروابط المشبوهة، وعدم فتح اي ملف قبل فحصه بمكافح الفيروسات او رابط www.virustotal.com.
كما نذكركم بإبلاغنا عن أي ملف أو رابط مشبوه يصلكم لكي نفحصه ونحذر قراءنا منه.

احداثيات أنفاق سرية في دمشق

احداثيات أنفاق سرية في دمشق

Shamاكتشف الخبراء في “شام تك” مؤخراً ملفّاً خبيثاً باسم: “احداثيات انفاق النظام في محيط مدينة اريحا قام بانشائها بالفترة الاخيرة exe.”. هذا الملف صغير الحجم، ويبدو على أنه ملف نصّي، ميكروسوفت وورد. وعند فتح الملف يظهر أنه يتضمن معلومات عادية للتمويه وعدم الشك، ولكن بالخلفية يقوم بفتح منفذ على الجهاز المستخدم، لكي يتمكن الهاكر من اختراق الجهاز والتحكم به بالكامل.

عند تشغيل الملف يقوم بتحميل ملفّين آخرين من الانترنت وتشغيلهم:

– crss.exe

– احداثيات أنفاق سرية في دمشق.docx

وقد اعتمد تسمية الملف crss.exe لأنه يوجد ملف في نظام ويندوز باسم csrss.exe لكي لا يثير الشك. وهذه الملفات تقوم بدورها بتحميل الملفات الأساسية للاختراق وتنصيبها على الجهاز. وقد تبين أن العنوان الذي يتصل به هو نفسه العنوان الذي تكلمنا عنه في التقارير السابقة 31.9.48.147 مما يدل على أن المخترق نفسه لا زال يعمل بنشاط.

نود أن نحثّكم من جديد على الانتباه:

  • عدم فتح أي ملف مشبوه يصلكم بأي طريقة، أو قد يكون منشوراً على مواقع التواصل الاجتماعي.
  • خصوصاً إذا كان اسمه يتضمن معلومات حول الأحداث الجارية حالياً، او أي شيء قد يثير الفضول لفتحه.
  • التواصل معنا مباشرةً لكي نتحقق من الملف، ونتخذ الإجراءات المناسبة لحمايتكم وتحذير الناشطين.
  • وفي حال إصابة جهازكم بأحد ملفات التجسس يمكنكم التواصل معنا لمساعدتكم.
  • نحن ننصح بإعادة تهيئة الجهاز في حال كان مصاباً بملف اختراق لأن الهاكر قد يكون ثبت برامج تجسس أخرى مختلفة.
من هو “جو”؟ هوية أحد موزعي أخطر البرمجيات الخبيثة المرتبطة بسوريا قد كشفت

من هو “جو”؟ هوية أحد موزعي أخطر البرمجيات الخبيثة المرتبطة بسوريا قد كشفت

a8تنبه كاسبرسكي لاب المستخدمين في الشرق الأوسط وتركيا من برنامج خبيث ينتقل عن طريق منتديات الأخبار أو التواصل الاجتماعي الموجهة سياسياً. ويستغل المهاجمون، الذين يعتمدون أساسا على الهندسة الاجتماعية، ثقة المستخدمين في هذه المنتديات وفضولهم لمعرفة آخر الأخبار المتعلقة بالصراع في سوريا، بالإضافة إلى غياب الوعي حول مفهوم أمن الإنترنت. وبمجرد تمكن مجرمي الإنترنت من إصابة جهاز الكمبيوتر بهذا البرنامج الخبيث، يتمكنون من الدخول إلى أجهزة الضحية والسيطرة على جميع الملفات المخزنة فيها. واللافت أن من أكثر الدول المستهدفة من قبل هذا  البرنامج الخبيث هي سوريا وتركيا ولبنان والمملكة العربية السعودية. ويقدر عدد الضحايا بنحو 2000 ضحية.

وقد أصدرت كاسبرسكي لاب في السابق تقريراً عن ما يعرف باسم البرمجيات الخبيثة السورية، استعرض بالتفصيل العديد من الخدع المستخدمة في سوريا والمنطقة للتجسس على المستخدمين. كشف التقرير كذلك عن هجمات تم شنها عن طريق فرق مختلفة ومصادر عديدة. والآن يطلق خبراء الشركة تحذيراً حول ملفات خبيثة وجدت على مواقع الناشطين ومنتديات التواصل الاجتماعي، وقد تم الإبلاغ عن بعضها من قبل مؤسسات إقليمية مثل CyberArabs. جميع تلك الملفات مخبأة خلف أداة الإدارة عن بعد (RAT) والتي تمتلك القدرة الكاملة على التحكم بأجهزة وأدوات الضحية ومراقبة أي أنشطة.

a1

يلجأ مطورو البرنامج الخبيث إلى استخدام تقنيات متعددة لدسّ ملفاتهم وإغواء الضحايا لتشغيلها. وبعد تحليل المئات من العينات المتعلقة بهذا البرنامج الخبيث، يسلط خبراء كاسبرسكي لاب الضوء على أمثلة الهندسة الاجتماعية التالية المستخدمة من قبل مجرمي الإنترنت:

1. Clean your Skype! (يتم تثبيت البرنامج الخبيث عندما يعد المستخدمين بأنه سيقدم لهم وسيلة تنظيف من أجل “حماية وتشفير اتصالاتهم عبر Skype”)

a3

2. Let us fix your SSL vulnerability (“لحماية وإصلاح نقاط الضعف الكامنة في SSL”)

a2

3. Did you update to the latest VPN version?  (يتم ذكر اسم Psiphon، وهو تطبيق نظامي يستخدم في جميع أنحاء العالم لحماية سرية البيانات، لكنه فعلياً يدسّ برنامجاً خبيثاً)

نسخة مزورة من برنامج psiphon

نسخة مزورة من برنامج psiphon

4. دعنا نتحقق من وجود رقم هاتفك بين الأرقام التي تخضع للمراقبة.

a5

5. تطبيق تشفير حساب الفيسبوك

a6

6. ما هو برنامج الحماية المفضل لديك؟ (يتم استخدام اسم كاسبرسكي لاب من قبل مجرمي الإنترنت في محاولة لإغواء الضحية لفتح الملفات التي يقوم المجرمون بتسليمها. يقوم بعد ذلك مجرمو الإنترنت بتسليم أداة TDSSKiller المجانية والفعالة من كاسبرسكي لتتبع وإزالة أدوات الجذر (Rootkits)، عن طريق قنواتهم المثبتة في برنامجهم الخبيث. وتعتبر أدوات الجذر (Rootkits) برامج تعمل على إخفاء البرامج الخبيثة في النظام؛ ونظراً لأن  أداة الإدارة عن بعد RAT ليست “rootkit”، فلا يتم التعرف عليها بواسطة هذه الأداة). 

a7

يرتبط موقع: thejoe.publicvm.com بالكثير من هذه النماذج، وربما يعتبر من أكثر المواقع الخبيثة النشطة حديثاً: وقد أوقع عدداً كبيراً من الضحايا الذين يقدر عددهم بالآلاف، سواء المستهدفين منهم أو غير المستهدفين.  إلى جانب الأمثلة التي وردت سابقاً، يستخدم Joe قناة Youtube وهمية في الأماكن التي يدسّ فيها أفلام فيديو الهندسة الاجتماعية الجديدة ويوزّع ملفات البرنامج الخبيث تحت اسم “أسود الثورة – Lions of the revolution”.   

a9

يتوقع خبراء كاسبرسكي لاب استمرار هذه الهجمات وتطورها من حيث الجودة والكمية. وتعتمد البرمجيات الخبيثة السورية بقوة على الهندسة الاجتماعية والتطوير الفاعل لبدائل البرنامج الخبيث. ومع ذلك، فإن معظم الملفات تكشف وبشكل سريع عن طبيعة تلك البرمجيات الحقيقية عندما يتم فحصها بعناية. يتعين على المستخدمين في المنطقة توخي المزيد من الحذر حول نوع الملفات التي يقومون بتحميلها، وينبغي عليهم الحصول على حلول الحماية الشاملة على الإنترنت من مثل حلول Kaspersky Endpoint Security for Business  و Kaspersky Internet Security للأجهزة المتعددة. كما يجب على المستخدمين أيضا القيام بتحميل البرامج من المصادر الموثوقة والمواقع الرسمية.

لقراءة التقرير الأصلي من هنا

فيروس جديد يصيب أجهزة أندرويد

فيروس جديد يصيب أجهزة أندرويد

AH-Virus-Malware-Piracy-Skull-Death-Samsung-logo-1.0

انتشرت خلال الأيام القليلة الماضية رسالة نصية قصيرة (SMS) تحتوي على النص التالي:

“لقيت صورك الخاصة هون http://goo.gl/abcdef” (تم تعديل الرابط لحمايتكم)، عند زيارة الرابط يقوم بتحميل الملف Scoop.apk، وبعد تحميله وتنصيبه يقوم التطبيق بالحصول على قائمة جهات الاتصال لديكم وإرسال الرسالة التي وصلتكم إليهم.

الجدير بالذكر أن هذا التطبيق لا تقتصر الصلاحيات التي يطلبها على قراءة جهات الاتصال لديكم وإرسال الرسائل النصية، بل عند التنصيب تستطيعون ملاحظة أنه يقوم بطلب الوصول إلى جميع الصلاحيات تقريباً ومن ضمنها:

إجراء مكالمات، اعتراض المكالمات، التحكم باتصال بلوتوث، الوصول إلى الإنترنت، الوصول إلى جهات الاتصال وإضافة وتعديل وإزالة أي جهة اتصال، كتابة وإرسال الرسائل النصية القصيرة، التحكم بسجل المكالمات،  التحكم بالتطبيقات المفتوحة، إغلاق التطبيقات المفتوحة.

بعد تنصيب التطبيق يقوم بدمج نفسه مع نظام التشغيل ليقوم بالعمل تلقائياً عند إقلاع الجهاز.

عند الفحص على موقع VirusTotal تم الكشف من قبل 25 برنامج مضاد فيروسات من أصل 56 برنامج، عن وجود فايروس من نوع “Trojan”.

 virustotal

ننصح المستخدمين بتحميل التطبيقات دوماً من متجر التطبيقات الرئيسي فقط والحذر من أي رسائل تصلهم من أشخاص لا يعرفونهم وتحتوي على روابط والتأكد من عدم فتح هذه الروابط، كما ننصح دائما بالتدقيق بالصلاحيات التي تطلبها التطبيقات عند تنصيبها. 

حملة خبيثة تستهدف “الرقة تذبح بصمت”

حملة خبيثة تستهدف “الرقة تذبح بصمت”

citizen-lab-featureنشر موقع “سيتزن لاب” بالتعاون مع “سايبر أرابز” تقريراً حول استهداف ناشطين سوريين بملف خبيث   مع احتمال أن تكون “الدولة الإسلامية في العراق والشام” وراء هذا العمل. التقرير الذي أعدّه جون سكوت رايلتون وسيث هاردي يسلط الضوء على تنامي هذه التهديدات. هذا التقرير يحلل الهجوم ويقدم قائمة بسبل الحد من المخاطر ومجابهتها.

وكان قد تم مؤخراً استهداف جمعية إعلامية سورية معروفة بانتقاداتها لممارسات “داعش” بهجوم رقمي يسعى لتحديد موقعها الجغرافي. المجموعة السورية التي تحمل إسم “الرقة تذبح بصمت” تركز في عملها على توثيق انتهاكات حقوق الإنسان التي يرتكبها عناصر داعش منذ إحتلالهم المدينة. رداً على ذلك، سبق أن قام تنظيم داعش بمداهمات لمنازل الناشطين العاملين في الجمعية، خطف بعض الأشخاص، كما يُحكى عن اغتيالات. وتواجه المجموعة أيضا تهديدات عبر الانترنت من قبل داعش وأنصارها بما في ذلك حملات سخرية من أن داعش يتجسس على الجمعية.

على الرغم من أن التقرير لا ينسب بالتأكيد الهجوم إلى داعش وأنصارها، ولكن من المرجح أن هناك صلة لداعش بالموضوع. البرمجيات الخبيثة التي استخدمت في الهجوم تختلف جوهريا عن الحملات المرتبطة بالنظام السوري بالإضافة إلى أن الهجوم يستهدف مجموعة تُعدّ هدفاً لتنظيم داعش.

رابط  التقرير: citizenlab.org

الاحتيال عبر “واتساب” والرسائل النصية القصيرة

الاحتيال عبر “واتساب” والرسائل النصية القصيرة

تلقى العديد من مستخدمي الهاتف الجوال مؤخراً عبر تطبيقات المحادثة مثل “واتس آب” أو عبر الرسائل النصية القصيرة (SMS) رسائل متعددة المحتوى تهدف إلى خداع المستخدم وينتج عنها سرقة الرصيد عبر الطلب منه الاتصال برقم معين.

الحالة الأولى عبر تطبيق “واتس آب”

وصل إلى فريق سايبر أرابز عدة رسائل على تطبيق “واتساب” من أرقام تبدأ بالرمز “+91” والذي يعود إلى الهند، تحتوي هذه الرسائل على مشاركة لرقم جهة اتصال، ولكن أرقام جهات الاتصال هذه تبدأ أرقامها برموز دولية مثل “+22” الذي يعود إلى دولة ساحل العاج، كما تبيّن أثناء بحثنا أن أرقام جميع هذه الجهات تعود إلى دول موجودة في أفريقيا (ساحل العاج، غانا، نيجيريا، إلخ).

عند قيام المستخدمين بالاتصال بأحد هذه الأرقام يتم حسم مبلغ كبير من رصيدكم أو إضافة هذا المبلغ على فاتورة هاتفكم، وأشارت بعض المواقع إلى أن بعض من تعرضوا إلى هذا النوع من الاحتيال تم حسم مبالغ من أرصدتهم تقدر بين ١٥ و ٣٠ دولاراً للدقيقة الواحدة.

Screenshot_2014-11-13-13-19-58

الحالة الثانية عبر الرسائل النصية القصيرة (SMS):

وصلنا أيضاً عدة رسائل من أرقام عديدة تدعي بأنكم ربحتم جائزة (مبالغ مالية أو سيارة أو منزل، إلخ) ويجب عليكم الاتصال برقم معين للحصول على هذه الجائزة. تعمل هذه الطرق في الاحتيال تماماً كالطريقة السابقة حيث تكلف المكالمة مبالغ مالية كبيرة للمتصل.

Screenshot_2014-03-06-13-11-49

ينصح فريق سايبر أرابز المستخدمين بعدم الإجابة أو إعادة الاتصال بهذه الأرقام، كما ننصحكم بحظر هذه الأرقام سواء في تطبيق “واتساب” أو عبر الرسائل النصية القصيرة لتفادي الاتصال أو الإجابة عليها عن طريق الخطأ.