تحذير! برمجيّة خبيثة جديدة تستهدف الوطن العربي

تحذير! يتم توزيع ملفات وورد Word خبيثة في الوطن العربي: يرجى عدم تحميل أو الضغط على ملف أو رابط مشبوه به.

كشف باحثون أمنيّون في سيسكو تالوس Cisco Talos عن برمجيّة خبيثة تستهدف أغلب دول الوطن العربي وتعمل على سرقة بيانات الضحايا عن بعد. 

وأُطلِق اسم جون رات (الفأر جون) JhoneRAT على هذا التروجان (حصان طروادة) Trojan حيث أنّ هذا التروجان هو من نوع RAT حصان طروادة للتحكم عن بعد Remote Access Trojan، فيستطيع المهاجم اختراق أجهزة  الضحايا عن بعد.

ونوّه التقرير أنّ الحملة الخبيثة – التي تمّ الكشف عنها خلال هذا الأسبوع – بدأت منذ العام المنصرم في شهر تشرين الثاني.

وبيّن التقرير أنّ قائمة الدول المستهدفة تضم المملكة العربية السعودية والعراق ومصر وليبيا والجزائر والمغرب وتونس وسلطنة عمان واليمن وسوريا والإمارات العربية المتحدة والكويت والبحرين ولبنان.

Source: Cisco Talos Blog 

وتتم عملية الهجوم عندما يرسل المهاجم ملف وورد Word خبيث للضحيّة، فعند الضغط عليه، يتم تنزيل ملف وورد Word آخر من غوغل درايف Google drive يحتوي على برمجيات خبيثة. ومن ثم ذلك، يتم تنزيل صورة كرتونيّة على جهاز الضحيّة، عند فتحها تكمل عمليّة الهجوم. وهكذا يصل المهاجمون إلى بيانات الضحايا.

ويستخدم المهاجمون خدمات تخزين سحابيّة موثوق بها، مثل غوغل درايف Google Drive، والتي تجعل التعرّف على أعمالهم المشبوهة صعب جداً. وكما كشف الباحثون الملفات الثلاث التي استخدموها – حتى الآن – في هذا الهجوم.

الملف الأول يدعى Urgent.docx والذي يطلب من الضحيّة تفعيل تمكين المحتوى enable editing وبالتالي يتم الهجوم على الجهاز

Source: Cisco Talos Blog 

الملف الثاني يدعى fb.docx والذي يحوي على قائمة حسابات مسرّبة من فيسبوك Facebook

Source: Cisco Talos Blog 

الملف الثالث قد تم تظليله من قبل المهاجمين ويطلب أيضاً من الضحية تفعيل تمكين المحتوى enable editing وذلك لإكمال الهجوم.

Source: Cisco Talos Blog 

بعد ذلك يظهر للضحية صورة كرتونيّة، ميكي ماوس مثلاً، عند فتحها، تقوم بتنزيل التروجان الحقيقي الذي يستطيع التحكم بجهاز الضحيّة، مثل إعطاء أوامر للجهاز أو تنصيب برمجيات خبيثة أخرى أو أخذ لقطات للشاشة وإرسال بيانات للمهاجمين.

Source: Cisco Talos Blog 

كيف نحمي أجهزتنا؟

–   يرجى عدم فتح أو الضغط على أي ملف أو رابط غير موثوق به

–   يمكننا فحص أي رابط أو ملف مشبوه به عن طريق موقع فايروس توتال ViruseTotal

 – تعطيل وحدات الماكرو في برامج Microsoft Office  

المصدر

هل كانت هذه المقالة مفيدة؟

عن عملنا

أخبار وتنبيهات رقمية

موارد المساعدة الذاتية

الدعم الرقمي

التدريب والعيادات

المساعدة الطارئة