البرمجيات الخبيثة السورية: التهديد المتطور باستمرار New

البرمجيات الخبيثة السورية: التهديد المتطور باستمرار New

ترجمة ملخصة من فريق “سايبر أرابز”، لقراءة التقرير الأصلي باللغة الإنكليزية من هنا

1. ملخص تنفيذي اكتشف فريق البحث والتحليل العالمي (GReAT) في مختبر “كاسبرسكي” هجمات رقمية جديدة في سوريا، يستخدمفيهامخترقون مجموعة كبيرة من أدواتهم الخاصة لإخفاء البرمجيات الخبيثة وتشغيلها. تعتمد هذه الهجمات على إتقان حيل الهندسة الاجتماعية، أي أنها مصممة لكي تستهدف أشخاصاً محددين. لكن بالإضافة إلى ذلك كان لدى الضحايا استعداد لفتح هذه الملفات الخبيثة واستكشافها بسبب الحاجة الماسة إلى أدوات الخصوصية والأمن في المنطقة. يقع الضحايا فريسة لهذه الهجمات لأنهم يأملون الحفاظ على سرية هويتهم، ولأنهم يعتقدون أنهم ينصّبون آخر برامج “الحماية. وتم الحصول على الغالبية العظمى من هذه العينات عبر مواقع الناشطين والشبكات الاجتماعية.

وبين امتدادات الملفات الرئيسية وبين عينات البرمجيات الخبيثة التي تم الحصول عليها نذكر:

– .exe

– .dll

– .pif

– .scr

تعتمد المجموعة على برمجية خبيثة من نوع “تروجان – أداة الوصول عن بعد” (TrojanRAT) ومن أكثرها شيوعاً:

– ShadowTech RAT

– Xtreme RAT

– NjRAT

– Bitcomet RAT

– Dark Comet RAT

– Blackshades RAT

عدد الملفات الخبيثة: 110، مع زيادة كبيرة أثناء الهجمات الأخيرة.

عدد أسماء النطاقات المرتبطة بالهجمات: 20.

عدد أرقام الآي بي (IP) المرتبطة بالهجمات: 47.

تتم الحماية من هذه الهجمات عبر استخدام نهج أمني من عدة خطوات: إبقاء البرامج الأمنية محدثة دائماً، والشك دائماً بما يتعلق بالملفات المشبوهة.

2. مقدمة اشتدت الصراعات الجيوسياسية في الشرق الأوسط في السنوات القليلة الماضية، وسوريا لم تكن استثناء. وبينما تتخذ الأزمة أشكالاً عديدة، يشتد الصراع في الفضاء الإلكتروني، حيث يحاول كل من الجانبين ترجيح كفّة نضاله عبر لعب دور استخباري على الإنترنت وممارسة التشويش على الجانب الآخر.

في السنوات القليلة الماضية، انتقلت الهجمات على الإنترنت في سوريا إلى الخط الأمامي. وتم ربط العديد من الأنشطة في الفضاء الإلكتروني بسوريا، وخاصة تلك التي أجرتها مجموعات “الجيش السوري الإلكتروني” الموالية للحكومة السورية.

وجد فريق الدراسات والتحليل العالمي (GReAT) في مختبر “كاسبرسكي” هجمات خبيثة جديدة، تستخدم تقنيات جديدة ولكنها ليست متطورة لإخفاء وتشغيل البرمجيات الخبيثة، إضافة إلى خدع متقنة في الهندسة الاجتماعية لإرسال هذه الملفات الخبيثة عبر خداع المستخدمين لفتح الملفات المشبوهة.

تم العثور على هذه الملفات الخبيثة على مواقع الناشطين المخترقة وصفحات الإنترنت والشبكات الاجتماعية.

سايبر أرابز”، وهو مشروع للأمن الرقمي باللغة العربية تابع لمعهد صحافة الحرب والسلام (IWPR)، أبلغ عن أربعة من هذه العينات في شهر آذار/مارس 2014. كما تم الإبلاغ عن العينات ذاتها على صفحات سورية على موقع “فيس بوك” (تقنيون لأجل الحرية).

سنركز في هذا التقرير على البرمجيات الخبيثة والحقائق التي تم العثور عليها أثناء التحليل ونقدم المعلومات ذات الصلة فقط، آملين في وضع سياق واضح لهذا البحث.

3. التحليل 3.1. ناقلات العدوى

يستخدم مبرمجو الملفات الخبيثة تقنيات متعددة لإيصال ملفاتهم وإغراء الضحايا بفتحها وخلق ناقلات عدوى ذات فعالية. وبالاعتماد بشكل أساسي على الهندسة الاجتماعية، يقوم المهاجم باستغلال:

– ثقة الضحية بمنتديات الشبكات الاجتماعية.

– فضول الضحايا في متابعة الأخبار المتعلقة بالصراع السياسي في سوريا.

– خوف الضحايا من الهجمات التي يتم شنها من قبل الحكومة.

– قلة الوعي التقني للضحايا.

بمجرد إصابة حاسوب الضحية، يستطيع المهاجم النفاذ إلى جهازها والتحكم الكامل به.

3.1.1 رسائل “سكايب” (Skype)

تقدم الرسائل المرسلة عبر”سكايب” روابط لتنزيل:

1- برنامج “SSH VPN” لتشفير الاتصال

2- البرنامج الشهير والفعال “Amazon Internet Security” مع تحديثه بشكل يومي

3- برنامج “SmartFirewall” لحجب الاتصالات التي يتم إجراؤها من قبل البرمجيات الخبيثة والبرامج السيئة

1

تم إرسال هذه الرسائل غالباً باستخدام حسابات مزوّرة أو مسروقة.

3.1.2 منشورات “فيس بوك”

الرسائل ذاتها التي أرسلت عبر “سكايب”، تمت مشاركتها على شبكة التواصل الاجتماعي “فيس بوك”. وتحمل هذه الرسائل إلى الضحايا طلباً بنصيب هذه “البرامج الأمنية” لحمايتهم من الإصابة بالملفات الخبيثة ومن هجمات الإنترنت، وخاصة تلك التي تشنها الحكومة.

2

3.1.3 فيديوهات “يوتيوب”

في المثال التالي نشاهد فيديو على موقع “يوتيوب” يقدم روابط لتحميل نسخ مزورة من برنامجي “واتس آب” و”فايبر” لكي يعملا على جهاز الحاسوب. باستغلال التقنيات المستخدمة بشكل يومي من قبل شريحة واسعة من الجمهور، يزيد المهاجمون من فعالية عملياتهم ومعدلات إصابتهم.

3

3.2 نماذج وأنواع الملفات

قادنا التحليل إلى الكشف عن النسخ المختلفة التالية من “رات” المستخدمة في الهجمات:

– ShadowTech RAT

– Xtreme RAT

– NjRAT

– Bitcomet RAT

– Dark Comet RAT

– BlackShades RAT

3.2.1 برنامج الأمن القومي: جدول مسرّب سابقاً يحتوي على أسماء الناشطين المطلوبين يؤدي تصفحه إلى الإصابة

وجدنا مجموعة من الملفات المضغوطة على موقع التواصل الاجتماعي الشهير، أظهرت بعد فك الضغط عنها قاعدة بيانات تحتوي على قائمة بالنشطاء والأفراد المطلوبين في سوريا.

ونُشِر فيديو بعنوان “اختراق أجهزة الكمبيوتر الخاصة بالمجرم علي مملوك وباقي عصابة الأسد” بتاريخ 9 تشرين الثاني/نوفمبر 2013، وتم تضمين رابط التحميل لبرنامج قاعدة البيانات في قسم معلومات الفيديو.

4

يقوم رابط التحميل بإعادة تحويل الضحايا إلى موقع مشاركة ملفات حيث يوجد الملف “برنامج الأمن الوطني.rar” والمحمي بكلمة السر “111222333″.

بعد فك الضغط عن الملف ونقله إلى مجلد مؤقت، ظهر لنا برنامج وملف نصي مطلوب للوصول إلى الميزات “المخفية” للبرنامج.

5

يحتوي الملف “PASSWORD.txt” على النص التالي:

syria123!@#

لاتبخلواعلينا بالدعاء قراصنة جبهة النصرة

6

6-a

بتدقيق النظر، كانت الأزرار الأولى والأخيرة من التطبيق تعمل، ولكن الأزرار الأخرى تظهر رسائل خطأ (مدعية أن بعض الملفات مفقودة).

الزر الأول “فيش عام شامل” يستخدم الملف “data-base.db.exe” والذي تم وضعه في المجلد “C:\Users\User\AppData\Roaming” وعند تشغيله يقوم باستخراج ملف الجداول “Data-Base.xslx” في المجلد الرئيسي.

الزر الأخير “إنهاء البرنامج” للخروج من البرنامج:

7

7-a

الملف “data-base.db” هو أرشيف مضغوط:

– اسم المنتج من توقيع الملف: Project1

– اسم الناشر من توقيع الملف: Syrian malware

– وقت التجميع: 2013-11-09 14:47:26

8

عند تشغيل “system32.exe” تولّد العملية الملف “iexplorer.exe” ويتم تسجيله تلقائياً للعمل عند الإقلاع. يتصل الملف بعنوان الآيبي 31.9.47.7 باستخدام المنفذ 999 (على بروتوكول TCP). ويعود هذا الآي بي إلى المؤسسة السورية للاتصالات.

9

اكتشفنا استخدام ملف مؤقت آخر للإصابة مثل “system32.exe” وتم نسخه في مجلد “C:\Users\User\AppData\Local\Temp”

10

وجود القيمة “DC_MUTEX-*” كان دليلاً على استخدام “تروجان – أداة الوصول عن بعد” “دارك كومت” (DarkComet).

3.2.2 الملفات المسماة “فضائح” مغرية جدا: استخدام فيديوهات مزعجة بشكل مذهل لنشر البرمجيات الخبيثة

استُخدم شريط فيديومزعج يظهر ضحايا مصابين في تفجيرات، وهو يستهدف إثارة خوف الناس وحثهم على تحميل تطبيق خبيث متاح على موقع عام لمشاركة الملفات.

عند فتح الملف، تقوم العينة الأصلية بإنشاء ملف تنفيذي آخر في مجلد “C:\Users\[USERNAME]\AppData\Local\Temp”، اسمه “Trojan.exe”، ويطابق رمز الـ”رات” نفسه. يستخدم هذا الملف في تسجيل كافة نقرات المفاتيح ونشاط نظام التشغيل على ملف موجود في المجلد نفسه باسم “Trojan.exe.tmp”.

11

على الرغم من تقنيات التشويش المختلفة التي استخدمت في العينات التي قمنا بتحليلها، كانت كلها تعتمد على رزمة “.NET Framework”، التي تتيح تحليلاً عميقاً للرمز المصدر الخاص بالخطر.

3.2.3 مضاد الفيروسات الشهير“Amazon Internet Security”

إذا كنتم تعتقدون أن عصر برامج مكافحة الفيروسات الوهمية انتهى، تأتي عينة طورت حديثاً لتثبت العكس.

بعنوان بريء من “Amazon Internet Security”، يقوم هذا التطبيق الخبيث بتقليد مضاد الفيروسات، ويشمل ذلك واجهة المستخدم الرسومية وبعض الوظائف التفاعلية.

12

من قائمةعمليات “ويندوز” الظاهرة في “متصفح العمليات”، استطعنا ملاحظة تشغيل ملف “J.L Antivirus 4.0″ في نظام التشغيل، ورصدنا من خلال “مراقب العمليات” إنشاء سجل “التحليل” المستخدم في برنامج مكافحة الفيروسات الوهمي.

13

كان ملف السجل الحقيقي يُستخدم لتسجيل كل نقرات المفاتيح وإرسالها لاحقاً إلى حاسوب آخر باستخدام اتصال (TCP).

3.2.4 نصّبتم أحدث حلول مكافحة الفيروسات، الآن لنقوم بـ”حماية الشبكة”

وجدنا برنامج Total Network Monitor (وهو برنامج قانوني) داخل عينة أخرى، وتم استخدامه مع برمجيات خبيثة لأغراض تتعلق بالتجسس.

تم تضمين نسخة تعمل بشكل كامل تقريباً من برنامج “Total Network Monitor”. ولكن ما لا تظهره هذه النسخة هو الاتصال عن بعد بجهاز مستضيف، حيث يتم إرسال وتخزين معلومات نظام التشغيل.

14

3.2.5 “واتس آب” و”فايبر” للحواسيب: محادثة فورية… وإصابة فورية

تظهر الصورة التالية كيف أن اسم التطبيق، والوظائف المقصودة، وحتى الأيقونة المستخدمة، استخدمت جميعها لخلق قصة قابلة للتصديق من قبل للضحية.

يلعب التأطير وتقنيات الهندسة الاجتماعية دوراً أساسياً في جميع تهديدات البرمجيات الخبيثة المرتبطة بسوريا، ويوحي تعقيدها بأنها ستستمر في الازدياد.

15

3.2.6 احذروا من الهجمات الكيميائية

16يستخدم هجوم آخر حيل الهندسة الاجتماعية، العيّنة ذات الاسم “Kmawi.exe” والأيقونة بصيغة “JPG”، هي ملف خبيث من نوع “RAT Trojan” تم دمجه مع الصورة “Kimawi.jpg”. هذه الصورة المفترض أنها سربت من قبل النظام وتحذّر الوحدات العسكرية للتحضر لهجمات كيميائية من قبل وحدات صديقة.

3.2.7 الأوامر والوظائف

رصدت مختلف أدوات الإدارة عن بعد، وكان معظمها يوفر مجموعة واسعة من الوظائف للتحكم بشكل كامل بالأنظمة المصابة. وتشمل هذه الوظائف:

– تسجيل نقرات المفاتيح

– التقاط صور للشاشة والتحكم بالكاميرا

– تسجيل حي للصوت والفيديو

– تنصيب برامج

– رفع وتحميل الملفات

– إدارة الملفات والعمليات ومفاتيح السجل

– واجهة سطر أوامر عن بعد

– تنفيذ هجمات “DDoS”

كانت إحدى أدوات الوصول عن بعدالأكثر شعبية التي وجدت في العينات الفرعية “دارك كومت” (Dark Comet)، وهي أداة مجانية وتوفر للمهاجمين مجموعة أوامر شاملة لاستخدامها في أغراضهم الخبيثة.

17

“NjRAT” هي أداة وصول عن بعد مستخدمة بشكل كبير في العالم العربي، وتحتوي على قائمة من الأوامر التي يتم إرسالها من قبل الشخص المتحكّم إلى النظام المصاب.

3.2.8 تطوّر الهجمات الخبيثة بالأرقام

تجدون أدناه الجدول الزمني لانتشار الملفات الخبيثة من 2013 إلى 2014، بناءً على المرة الأولى التي تم انتشارها أو رصدها على الملأ (“سكايب” و”فيس بوك” ومواقع مشاركة الملفات والبريد الإلكتروني… إلخ).

18

وفيما يلي جدول زمني لتوزع العينات التي تم جمعها على أساس وقت التجميع (Compilation time):

19

3.2.9 الأماكن، وأسماء النطاقات، والفريق

20

صفحة يوتيوب لأحد المهاجمين تظهر الاختراقات التي نفذها ومقابلة له مع محطة راديو عن إنجازاته في الاختراق

منذ نهاية العام 2013، اعتمدت المجموعة بشكل كبير على الشبكة الفرعية لعنوان الآي بي (31.9.48.0/24) والتي تعود لمزود خدمة الإنترنت “تراسل” (المؤسسة السورية للاتصالات) لاستخدامها في شن الهجمات. ونعتقد بأن هذه الشبكة الفرعية تم حجزها للمجموعة، كما يشير ذلك إلى أن أعضاء المجموعة يعملون من مكان واحد.

في بداية العام 2014، انتقلت المجموعة إلى استخدام عنوان الآي بي الروسي (31.8.47.7) لشن عدة هجمات جديدة.

معلومات اسم النطاق “all4syrian.com”

اسم النطاق مسجل باستخدام البريد الإلكتروني aloshalaa@gmail.com، (يوحي اسم النطاق بأنه محاولة لخداع قراء الموقع المعارض(all4syria.info واستخدم كموقع موالي للنظام خلال العام 2012، وكمخدّم أوامر وتحكم لبعض ملفات أدوات الوصول عن بعد.

اسم النطاق تم تسجيله للبريد الإلكتروني okpa1984@gmail.com خلال الفترة 2011-2013.

لوحظ اتصال البرمجيات الخبيثة بالعنوانين xtr.all4syrian.com وvip.all4syrian.com.

التوزع الجغرافي للمهاجمين

تظهر الخريطة أدناه التوزع الجغرافي للمهاجمين بناءً على عناوين الآي بي الخاصة بهم والمستخدمة من قبل مخدّمات الأوامر والتحكم:

21

3.2.10 الضحايا

يقتصر توزع الضحايا على سوريا ولكنه يصل بعض الدول المجاورة، ولاحظنا أيضاً أن ضحايا البرمجية الخبيثة الصادرة عن سوريا تصل إلى كل من لبنان وتركيا والسعودية ومصر والأردن وفلسطين والإمارات وإسرائيل والمغرب والولايات المتحدة الأمريكية.

22

خريطة التوزع الجغرافي للضحايا

خريطة تظهر التوزع الجغرافي للضحايا مع صورة مقرّبة لأكثر المناطق تأثراً

خريطة تظهر التوزع الجغرافي للضحايا مع صورة مقرّبة لأكثر المناطق تأثراً

وفيما يلي لقطات مأخوذة من مقاطع الفيديو التي تم نشرها من قبل المهاجمين، وتظهر لوحة تحكمأداة الوصول عن بعد وقائمة الضحايا. ويدل ذلك على أن بعض الضحايا متواجدون في بلدان مختلفة.

24

25

3.2.11 سلوك الناشطين

من الجدير بالذكر أننا وجدنا أدلة على نشطاء يحاولون تنفيذ هجمات “DDoS” على أسماء النطاقات والمخدّمات الخاصة بالبرمجيات الخبيثة، في محاولة لاستهلاك مواردها والتسبب بانتهاء مهلة الاتصال.

3.3 النسْب (Attribution)

26

الفريق والمناصب

بعد مراجعة العديد من المنشورات، والمنتديات والفيديوهات التي تحدد الهوية، كان من الواضح أن المجموعة لديها هيكل منظم لفرق تعمل مع بعضها، وتم جمع الأسماء والمناصب المبينة أدناه من مشاركات على المنتديات أو الصفحات المخترقة. كلها إما ألقاب أو أسماء غير مكتملة، لا تمكننا من تحديد هوية المهاجمين بشكل تام.

الجيش السوري الإلكتروني المقاوم

– المجموعة الأولى: وحدة “فريق الهكر والاختراقات الأسدية”

– المجموعة الثانية: وحدة “مجهولو سوريا الأسد”

– المجموعة الثالثة: وحدة “إدارة المراقبة الإلكترونية والمتابعة المركزية”

المجموعة الأولى: وحدة “فريق الهكر والاختراقات الأسدية”

الاسم المنصب
شادي رئيس فريق الاختراقات الأسدية
فادي مسؤول عن الهجمات
سرمد مسؤول عن العمليات في وحدة الهجمات
محمود مساعد رئيس وحدة الإدارة
فدائية عضو في فريق الدعم والنشر
نجمة عضو في فريق الإعلام والنشر

المجموعة الثانية: وحدة “مجهولو سوريا الأسد”

الاسم المنصب
جبور مدير العلاقات العامة
حيدرة وحدة الكمائن الإلكترونية
علاء مرشد وحدة المتابعة والمراقبة الإلكترونية
أحمد مسؤول عن وحدة الفريق
ناريمان مسؤول عن وحدة الفريق
علي مسؤول عن وحدة الفريق
زينة مسؤول عن وحدة الفريق
دركشلي قردحلي مسؤول عن تدمير حسابات الضحايا
أحمد ومراد مشاركان في الهجمات

المجموعة الثالثة: وحدة “إدارة المراقبة الإلكترونية والمتابعة المركزية”

الاسم المنصب
كنان رئيس الفريق
عقبة رئيس العمليات الإلكترونية
أحمد رئيس الهجمات الإلكترونية
ريتزل (قلب الأسد) رئيس عمليات الاختراق الإلكتروني

4. إحصائيات مختبر “كاسبرسكي” عن الملفات الخبيثة من نوع “أداة الإدارة عن بعد” في منطقة الشرق الأوسط وشمال أفريقيا

برمجيات “تروجان” من طراز “أداة الإدارة عن بعد” (“رات”) هي برمجيات خبيثة تسمح لمشغّل بعيد التحكم بالنظام كما لو كان باستطاعته الوصول إليه بشكل مادي. تُستعمل برمجيات “رات” الخبيثة على نطاق واسع من قبل عدة أنواع من المجرمين الرقميين (نشطاء “الهاكينغ”؛ ما يسمى بـ”أطفال السكريبت”، وهم مخترقون مراهقون أو لا يتمتعون بخبرة واسعة؛ والمحتالون). وفي بعض الحالات، تضمّن استخدام “رات” هجمات ترعاها الحكومات. تُظهر الإحصاءات أدناه، ومصدرها “شبكة كاسبرسكي للأمن”، عدد الهجمات باستخدام “رات” التي صدتها منتجات “كاسبرسكي لاب” في منطقة الشرق الأوسط وشمالي أفريقيا، وذلك خلال العامين 2013 و2014:

27

28

وبناءً على إحصاءات “شبكة كاسبرسكي للأمن”، كان عدد الإصابات بهجمات “رات” في الشرق الأوسط وشمالي أفريقيا من أكثر الأعداد ارتفاعاً، كما يظهر أدناه:

29

5. خاتمة تعتمد البرمجيات الخبيثة السورية بشكل كبير على الهندسة الاجتماعية والتطوير النشط للمتغيرات الخبيثة المعقدة تقنياً. ومع ذلك، كُشفت طبيعة معظم هذه البرمجيات الخبيثة عند تفحصها بعناية؛ وهذا يعد أحد الأسباب الرئيسية لحث المستخدمين السوريين على توخي مزيد من الحذر بما يتعلق بتحميل الملفات، واتباع نهج الحماية المتعدد الطبقات.

ونتوقع أن تستمر هذه الهجمات وتتطور من حيث الجودة والكمية. كما نتوقع أن يبدأ المهاجمون باستخدام تقنيات أكثر تطوراً لتوزيع برمجياتهم الخبيثة، وذلك باستخدام مستندات خبيثة أو عبر ثغرة “drive-by download”.

يعتمد المهاجمون بشكل أساسي على استخدام برامج تروجان” المعروفة. لكن، يشير تطورهم السريع ووجود تطبيقات توفّر تقنيات التشويش، بالإضافة إلى تطويرهم واجهات مستخدم رسومية لتطبيقات وهمية، وتعديل الرمز عبر أدوات البناء الآلية، أنه من المحتمل ألا يمضي وقت طويل قبل أن يبدأ المهاجمون بكتابة برامج “تروجان” خاصة بهم للاستفادة من قدرات الإصابة المخصصة وتطبيق مراوغة أمنية أفضل.

أخيراً، وجود برنامج مكافحة فيروسات وجدار ناري شامل ومحدّث هو أول إجراء يتخذ من قبل أي مستخدم له نشاطات على الإنترنت، خاصة خلال هذه الأوقات حيث تظهر التهديدات الجديدة على الإنترنت بشكل يومي تقريباً.

تحذير: برمجية خبيثة تنتشر على أنها برنامج لإضافة معجبين لصفحات فيسبوك

تحذير: برمجية خبيثة تنتشر على أنها برنامج لإضافة معجبين لصفحات فيسبوك

Sham like1ينتشر عبر مواقع التواصل الاجتماعي رابط لفيديو على يوتيوب، يشرح عن برنامج لإضافة معجبين لصفحات فيسبوك. البرنامج الذي يتكلم عنه الفيديو: بـرنـامـج شـــام لايك.exe وهو يحتوي على برمجية خبيثة.

في الحقيقة لايوجد أي برنامج يمكنه اضافة معجبين الى صفحات فيسبوك. جل ما يبتغيه الشخص الذي برمج هذه البرمجية هو اختراق الحسابات وتنصيب برامج خبيثة على اجهزتكم. هذا الملف هو نوع جديد من الملفات الخبيثة مختلف عن الملفات التي اكتشفناها سابقاً ومعظم برامج مكافة الفبروسات لم تكتشفه حتى الآن.
لا زلنا نقوم بتحليل الملف، وسنشرح طريقة التخلص منه في حال استخدمتم هذا الملف عن طريق الخطأ فور انتهاء عمليلة التحليل.
ينصح فريق “سايبر آرابز” المستخدمين بتحديث برامج مكافحة الفيروسات لديهم وتجنب فتح الملفات الغريبة التي تصلهم وعدم الضغط على الروابط المشبوهة، وعدم فتح اي ملف قبل فحصه بمكافح الفيروسات او رابط www.virustotal.com.
كما نذكركم بإبلاغنا عن أي ملف أو رابط مشبوه يصلكم لكي نفحصه ونحذر قراءنا منه.

احداثيات أنفاق سرية في دمشق

احداثيات أنفاق سرية في دمشق

Shamاكتشف الخبراء في “شام تك” مؤخراً ملفّاً خبيثاً باسم: “احداثيات انفاق النظام في محيط مدينة اريحا قام بانشائها بالفترة الاخيرة exe.”. هذا الملف صغير الحجم، ويبدو على أنه ملف نصّي، ميكروسوفت وورد. وعند فتح الملف يظهر أنه يتضمن معلومات عادية للتمويه وعدم الشك، ولكن بالخلفية يقوم بفتح منفذ على الجهاز المستخدم، لكي يتمكن الهاكر من اختراق الجهاز والتحكم به بالكامل.

عند تشغيل الملف يقوم بتحميل ملفّين آخرين من الانترنت وتشغيلهم:

– crss.exe

– احداثيات أنفاق سرية في دمشق.docx

وقد اعتمد تسمية الملف crss.exe لأنه يوجد ملف في نظام ويندوز باسم csrss.exe لكي لا يثير الشك. وهذه الملفات تقوم بدورها بتحميل الملفات الأساسية للاختراق وتنصيبها على الجهاز. وقد تبين أن العنوان الذي يتصل به هو نفسه العنوان الذي تكلمنا عنه في التقارير السابقة 31.9.48.147 مما يدل على أن المخترق نفسه لا زال يعمل بنشاط.

نود أن نحثّكم من جديد على الانتباه:

  • عدم فتح أي ملف مشبوه يصلكم بأي طريقة، أو قد يكون منشوراً على مواقع التواصل الاجتماعي.
  • خصوصاً إذا كان اسمه يتضمن معلومات حول الأحداث الجارية حالياً، او أي شيء قد يثير الفضول لفتحه.
  • التواصل معنا مباشرةً لكي نتحقق من الملف، ونتخذ الإجراءات المناسبة لحمايتكم وتحذير الناشطين.
  • وفي حال إصابة جهازكم بأحد ملفات التجسس يمكنكم التواصل معنا لمساعدتكم.
  • نحن ننصح بإعادة تهيئة الجهاز في حال كان مصاباً بملف اختراق لأن الهاكر قد يكون ثبت برامج تجسس أخرى مختلفة.
من هو “جو”؟ هوية أحد موزعي أخطر البرمجيات الخبيثة المرتبطة بسوريا قد كشفت

من هو “جو”؟ هوية أحد موزعي أخطر البرمجيات الخبيثة المرتبطة بسوريا قد كشفت

a8تنبه كاسبرسكي لاب المستخدمين في الشرق الأوسط وتركيا من برنامج خبيث ينتقل عن طريق منتديات الأخبار أو التواصل الاجتماعي الموجهة سياسياً. ويستغل المهاجمون، الذين يعتمدون أساسا على الهندسة الاجتماعية، ثقة المستخدمين في هذه المنتديات وفضولهم لمعرفة آخر الأخبار المتعلقة بالصراع في سوريا، بالإضافة إلى غياب الوعي حول مفهوم أمن الإنترنت. وبمجرد تمكن مجرمي الإنترنت من إصابة جهاز الكمبيوتر بهذا البرنامج الخبيث، يتمكنون من الدخول إلى أجهزة الضحية والسيطرة على جميع الملفات المخزنة فيها. واللافت أن من أكثر الدول المستهدفة من قبل هذا  البرنامج الخبيث هي سوريا وتركيا ولبنان والمملكة العربية السعودية. ويقدر عدد الضحايا بنحو 2000 ضحية.

وقد أصدرت كاسبرسكي لاب في السابق تقريراً عن ما يعرف باسم البرمجيات الخبيثة السورية، استعرض بالتفصيل العديد من الخدع المستخدمة في سوريا والمنطقة للتجسس على المستخدمين. كشف التقرير كذلك عن هجمات تم شنها عن طريق فرق مختلفة ومصادر عديدة. والآن يطلق خبراء الشركة تحذيراً حول ملفات خبيثة وجدت على مواقع الناشطين ومنتديات التواصل الاجتماعي، وقد تم الإبلاغ عن بعضها من قبل مؤسسات إقليمية مثل CyberArabs. جميع تلك الملفات مخبأة خلف أداة الإدارة عن بعد (RAT) والتي تمتلك القدرة الكاملة على التحكم بأجهزة وأدوات الضحية ومراقبة أي أنشطة.

a1

يلجأ مطورو البرنامج الخبيث إلى استخدام تقنيات متعددة لدسّ ملفاتهم وإغواء الضحايا لتشغيلها. وبعد تحليل المئات من العينات المتعلقة بهذا البرنامج الخبيث، يسلط خبراء كاسبرسكي لاب الضوء على أمثلة الهندسة الاجتماعية التالية المستخدمة من قبل مجرمي الإنترنت:

1. Clean your Skype! (يتم تثبيت البرنامج الخبيث عندما يعد المستخدمين بأنه سيقدم لهم وسيلة تنظيف من أجل “حماية وتشفير اتصالاتهم عبر Skype”)

a3

2. Let us fix your SSL vulnerability (“لحماية وإصلاح نقاط الضعف الكامنة في SSL”)

a2

3. Did you update to the latest VPN version?  (يتم ذكر اسم Psiphon، وهو تطبيق نظامي يستخدم في جميع أنحاء العالم لحماية سرية البيانات، لكنه فعلياً يدسّ برنامجاً خبيثاً)

نسخة مزورة من برنامج psiphon

نسخة مزورة من برنامج psiphon

4. دعنا نتحقق من وجود رقم هاتفك بين الأرقام التي تخضع للمراقبة.

a5

5. تطبيق تشفير حساب الفيسبوك

a6

6. ما هو برنامج الحماية المفضل لديك؟ (يتم استخدام اسم كاسبرسكي لاب من قبل مجرمي الإنترنت في محاولة لإغواء الضحية لفتح الملفات التي يقوم المجرمون بتسليمها. يقوم بعد ذلك مجرمو الإنترنت بتسليم أداة TDSSKiller المجانية والفعالة من كاسبرسكي لتتبع وإزالة أدوات الجذر (Rootkits)، عن طريق قنواتهم المثبتة في برنامجهم الخبيث. وتعتبر أدوات الجذر (Rootkits) برامج تعمل على إخفاء البرامج الخبيثة في النظام؛ ونظراً لأن  أداة الإدارة عن بعد RAT ليست “rootkit”، فلا يتم التعرف عليها بواسطة هذه الأداة). 

a7

يرتبط موقع: thejoe.publicvm.com بالكثير من هذه النماذج، وربما يعتبر من أكثر المواقع الخبيثة النشطة حديثاً: وقد أوقع عدداً كبيراً من الضحايا الذين يقدر عددهم بالآلاف، سواء المستهدفين منهم أو غير المستهدفين.  إلى جانب الأمثلة التي وردت سابقاً، يستخدم Joe قناة Youtube وهمية في الأماكن التي يدسّ فيها أفلام فيديو الهندسة الاجتماعية الجديدة ويوزّع ملفات البرنامج الخبيث تحت اسم “أسود الثورة – Lions of the revolution”.   

a9

يتوقع خبراء كاسبرسكي لاب استمرار هذه الهجمات وتطورها من حيث الجودة والكمية. وتعتمد البرمجيات الخبيثة السورية بقوة على الهندسة الاجتماعية والتطوير الفاعل لبدائل البرنامج الخبيث. ومع ذلك، فإن معظم الملفات تكشف وبشكل سريع عن طبيعة تلك البرمجيات الحقيقية عندما يتم فحصها بعناية. يتعين على المستخدمين في المنطقة توخي المزيد من الحذر حول نوع الملفات التي يقومون بتحميلها، وينبغي عليهم الحصول على حلول الحماية الشاملة على الإنترنت من مثل حلول Kaspersky Endpoint Security for Business  و Kaspersky Internet Security للأجهزة المتعددة. كما يجب على المستخدمين أيضا القيام بتحميل البرامج من المصادر الموثوقة والمواقع الرسمية.

لقراءة التقرير الأصلي من هنا

فيروس جديد يصيب أجهزة أندرويد

فيروس جديد يصيب أجهزة أندرويد

AH-Virus-Malware-Piracy-Skull-Death-Samsung-logo-1.0

انتشرت خلال الأيام القليلة الماضية رسالة نصية قصيرة (SMS) تحتوي على النص التالي:

“لقيت صورك الخاصة هون http://goo.gl/abcdef” (تم تعديل الرابط لحمايتكم)، عند زيارة الرابط يقوم بتحميل الملف Scoop.apk، وبعد تحميله وتنصيبه يقوم التطبيق بالحصول على قائمة جهات الاتصال لديكم وإرسال الرسالة التي وصلتكم إليهم.

الجدير بالذكر أن هذا التطبيق لا تقتصر الصلاحيات التي يطلبها على قراءة جهات الاتصال لديكم وإرسال الرسائل النصية، بل عند التنصيب تستطيعون ملاحظة أنه يقوم بطلب الوصول إلى جميع الصلاحيات تقريباً ومن ضمنها:

إجراء مكالمات، اعتراض المكالمات، التحكم باتصال بلوتوث، الوصول إلى الإنترنت، الوصول إلى جهات الاتصال وإضافة وتعديل وإزالة أي جهة اتصال، كتابة وإرسال الرسائل النصية القصيرة، التحكم بسجل المكالمات،  التحكم بالتطبيقات المفتوحة، إغلاق التطبيقات المفتوحة.

بعد تنصيب التطبيق يقوم بدمج نفسه مع نظام التشغيل ليقوم بالعمل تلقائياً عند إقلاع الجهاز.

عند الفحص على موقع VirusTotal تم الكشف من قبل 25 برنامج مضاد فيروسات من أصل 56 برنامج، عن وجود فايروس من نوع “Trojan”.

 virustotal

ننصح المستخدمين بتحميل التطبيقات دوماً من متجر التطبيقات الرئيسي فقط والحذر من أي رسائل تصلهم من أشخاص لا يعرفونهم وتحتوي على روابط والتأكد من عدم فتح هذه الروابط، كما ننصح دائما بالتدقيق بالصلاحيات التي تطلبها التطبيقات عند تنصيبها. 

حملة خبيثة تستهدف “الرقة تذبح بصمت”

حملة خبيثة تستهدف “الرقة تذبح بصمت”

citizen-lab-featureنشر موقع “سيتزن لاب” بالتعاون مع “سايبر أرابز” تقريراً حول استهداف ناشطين سوريين بملف خبيث   مع احتمال أن تكون “الدولة الإسلامية في العراق والشام” وراء هذا العمل. التقرير الذي أعدّه جون سكوت رايلتون وسيث هاردي يسلط الضوء على تنامي هذه التهديدات. هذا التقرير يحلل الهجوم ويقدم قائمة بسبل الحد من المخاطر ومجابهتها.

وكان قد تم مؤخراً استهداف جمعية إعلامية سورية معروفة بانتقاداتها لممارسات “داعش” بهجوم رقمي يسعى لتحديد موقعها الجغرافي. المجموعة السورية التي تحمل إسم “الرقة تذبح بصمت” تركز في عملها على توثيق انتهاكات حقوق الإنسان التي يرتكبها عناصر داعش منذ إحتلالهم المدينة. رداً على ذلك، سبق أن قام تنظيم داعش بمداهمات لمنازل الناشطين العاملين في الجمعية، خطف بعض الأشخاص، كما يُحكى عن اغتيالات. وتواجه المجموعة أيضا تهديدات عبر الانترنت من قبل داعش وأنصارها بما في ذلك حملات سخرية من أن داعش يتجسس على الجمعية.

على الرغم من أن التقرير لا ينسب بالتأكيد الهجوم إلى داعش وأنصارها، ولكن من المرجح أن هناك صلة لداعش بالموضوع. البرمجيات الخبيثة التي استخدمت في الهجوم تختلف جوهريا عن الحملات المرتبطة بالنظام السوري بالإضافة إلى أن الهجوم يستهدف مجموعة تُعدّ هدفاً لتنظيم داعش.

رابط  التقرير: citizenlab.org