عصابة متخفية تستدرج الباحثين عن برمجيات التشفير

شهد فصل الصيف الماضي بأكمله قيام عصابة إلكترونية متخفية تعرف باسم StrongPity باستدراج المستخدمين الباحثين عن برمجيات التشفير إلى مواقع إلكترونية احتيالية بهدف التحميل من المواقع المزورة دون علمهم، وذلك وفقا لتقرير صدر مؤخرا عن شركة كاسبرسكي لاب. وقد كان المستخدمون في إيطاليا وبلجيكا الأكثر تضررا، وكان هناك أيضاً ضحايا أخرون لم يسلموا من تلك الحملة الخبيثة في تركيا وشمال أفريقيا والشرق الأوسط.

وحملةStrongPity  الخبيثة هي في الواقع نوع من الهجمات المتقدمة المستمرة الـAPT التي تمتلك قدرات تقنية وتركز على استهداف البيانات والاتصالات المشفرة. وعلى مدى الأشهر القليلة الماضية، رصدت كاسبرسكي لاب تصعيداً ملحوظاً في هجمات هذه الحملة على المستخدمين بحثاً عن اثنتين من أدوات التشفير ذات الصلة وهما: مستند (WinRAR) ونظام التشفير (TrueCrypt).

تشتمل برمجية StrongPity الخبيثة على مكونات تتيح للمهاجمين إمكانية التحكم الكامل بنظام الضحية، الأمر الذي ساعدهم على سرقة محتويات القرص الصلب وكذلك تحميل وحدات نمطية إضافية لجمع معلومات عن الاتصالات وعناوين جهات الاتصال. وتمكنت كاسبرسكي لاب حتى الآن من الكشف عن زيارات لمواقع حملة StrongPity والعثور على مكونات لبرمجية  StrongPity  الخبيثة عبر أكثر من ألف نظام مستهدف.

هجمات (Watering holes) والتحميل من المواقع المزورة دون علم المستخدم (poisoned installers)،

لإيقاع الضحايا في الفخ، لجأ المهاجمون إلى إنشاء مواقع إلكترونية احتيالية. وفي إحدى الحالات، قاموا بإدخال حرفين على اسم النطاق لخداع العملاء وجعلهم يعتقدون بأنها مواقع نظامية تتيح تثبيت برنامج (WinRAR). بعد ذلك، قام المهاجمون بتثبيت رابط دائم لهذا النطاق البرمجي الخبيث على إحدى مواقع تثبيت برنامج (WinRAR) في بلجيكا، ليستبدل، على ما يبدو، رابط الموقع النظامي أو "الموصى به" بنطاق آخر خبيث. وعندما تصفح الزوار من المستخدمين المطمئنين الموقع، قادهم إلى موقع تثبيت البرمجية الخبيثة. وقد اكتشفت كاسبرسكي لاب أول عملية إعادة توجيه إلى موقع إلكتروني مزيف ناجحة بتاريخ 28 مايو 2016.

وفي نفس الوقت تقريبا، وتحديداً بتاريخ 24 مايو، بدأت كاسبرسكي لاب على الفور برصد وتتبع أنشطة خبيثة على موقع تثبيت برامج (WinRAR) في إيطاليا. غير أنه في هذه الحالة لم تتم إعادة توجيه المستخدمين إلى موقع إلكتروني مزيف، بل تم تثبيت برمجية  "StrongPity" الخبيثة مباشرة على أجهزتهم عن طريق موقع تحميل البرامج.

كما كانت برمجية "StrongPity" الخبيثة توجّه الزوار من مواقع تبادل البرامج الشائعة الاستخدام إلى موقع تثبيت البرامج (Installers) الخاص بها المعروف باسم:  (TrueCrypt) والملغّم بفيروسات (Trojans). وقد استمر هذا النشاط حتى نهاية شهر سبتمبر.

وقد تم الآن إزالة الروابط الخبيثة من مواقع تثبيت برامج (WinRAR)، ولكن موقع (TrueCrypt) الاحتيالي كان لايزال نشطاً حتى نهاية سبتمبر.

كشفت بيانات كاسبرسكي لاب أنه خلال أسبوع واحد، ظهرت البرمجية الخبيثة التي تم تحميلها عن طريق موقع تثبيت البرامج في إيطاليا على مئات الأنظمة في جميع أنحاء أوروبا وشمال أفريقيا / الشرق الأوسط، مع وجود المزيد من الإصابات المحتمل تسجيلها. خلال فصل الصيف بأكمله، كانت إيطاليا (87%) وبلجيكا (5%) والجزائر (4%) من ضمن الدول الأكثر تضررا بتلك الهجمات. كما كان التوزع الجغرافي للضحايا المتضررين من الموقع المصاب في بلجيكا مماثلاً، حيث تم استهداف المستخدمين في بلجيكا والذين يشكلون النصف تقريباً (54%) بأكثر من 60 هجمة ناجحة.