JhoneRAT : فيروسات خطيرة تستهدف الدول العربية والشرق الأوسط عبر الملفات النصية

- الإعلانات -

انتشرت في الساعات القليلة الماضية فيروسات خطيرة تستهدف مصر والسعودية والكويت والامارات والبحرين والمغرب والجزائر وعدد من دول الشرق الأوسط الأخري ، وقال خبراء الأمن السيبراني ان هذه الفيروسات تنتشر عبر الملفات النصية وملفات ميكروسوفت أوفيس ، اما عن طريقة إنتشارها فمن المحتمل انها تنتقل عبر خدمات التخزين السحابي وجوجل درايف .

JhoneRAT : فيروسات خطيرة تستهدف الدول العربية والشرق الأوسط عبر الملفات النصية

اليوم ، تكشف Cisco Talos عن تفاصيل فيروسات RAT جديدة تم تحديدها وتم تسميتها “JhoneRAT”. يتم إسقاط RAT الجديد للضحايا من خلال مستندات ميكروسوفت اوفيس Microsoft Office الضارة. ، جنبًا إلى جنب مع Python RAT ، حيث يتم جمع المعلومات على جهاز الضحية ثم يستخدم خدمات سحابية متعددة: مثل جوجل درايف Google Drive و تويتر Twitter و ImgBB و نماذج جوجل Google Forms. يحاول RAT تنزيل تحميل ملفات إضافية في اجهزة الضحايا وتحميل المعلومات التي تم جمعها أثناء مرحلة الاستطلاع. يحاول RAT هذا استهداف مجموعة محددة جدًا من البلدان الناطقة بالعربية. يتم إجراء التصفية عن طريق التحقق من تخطيط لوحة المفاتيح للأنظمة المصابة. بناءً على العينة التي تم تحليلها ، تستهدف JhoneRAT المملكة العربية السعودية والعراق ومصر وليبيا والجزائر والمغرب وتونس وعمان واليمن وسوريا والإمارات العربية المتحدة والكويت والبحرين ولبنان.

- الإعلانات -

JhoneRAT : فيروسات خطيرة تستهدف الدول العربية والشرق الأوسط عبر الملفات النصية
JhoneRAT : فيروسات خطيرة تستهدف الدول العربية والشرق الأوسط عبر الملفات النصية

تقوم فيروسات jhonerat وهي من نوعية أحصنة طروادة الجديدة على الساحة بمهاجمة أهداف في الشرق الأوسط بشكل انتقائي من خلال التحقق من تخطيطات لوحة المفاتيح ومحاولات تجنب وضع قائمة سوداء من خلال إساءة استخدام الخدمات السحابية. 

في يوم الخميس ، قال باحثو الأمن السيبراني من سيسكو تالوس إن جهاز الوصول عن بعد طروادة (RAT) ، المسمى JhoneRAT ، ينتشر بنشاط من خلال مستندات ميكروسوفت اوفيس Microsoft Office التي تحتوي على وحدات ماكرو ضارة. 

نوعية المستندات الأولي التي تم التعرف عليها من خلال حملات الخداع ، والتي تحمل اسم “Urgent.docx” ، من المستلم ويمكن تحريرها باللغتين العربية والإنجليزية. الثاني هي ملفات ، “fb.docx” ، حيث ذكر الباحثون انه يحتوي على بيانات عن تسرب لمعلومات فيسبوك ، والثالث يدعي أنه من منظمة إماراتية شرعية. 

في كل حالة ، إذا تم تمكين التحرير لهذه الملفات الضارة ، يتم تحميل مستند أوفيس إضافي ويتم تنفيذه بشكل تلقائي علي جهازك والذي يحتوي على ماكرو ضار ينفذ مجموعة من التعليمات البرمجية الخبيثة علي جهازك . 

وسط المقالة

يقول الفريق إن هذه المستندات مستضافة عبر جوجل درايف Google Drive “لتجنب إدراج عناوين URL في القائمة السوداء”. 

JhoneRAT مكتوب بلغة بايثون Python ويتم إسقاطه عبر جوجل درايف Google Drive ، والذي يستضيف صورًا تحتوي على قاعدة ثنائية مشفرة base64 يتم إلحاقها في النهاية. هذه الصور ، بمجرد تحميلها على جهاز عرضة للإصابة ، ستنشر فيروسات من نوع أحصنة طروادة ، التي تبدأ على الفور في جمع المعلومات من جهاز الضحية بما في ذلك الكتابة والأرقام التسلسلية للقرص ونظام التشغيل للمستخدم ، وأكثر من ذلك. 

عند الاتصال بخادم الأوامر والتحكم (C2) الخاص به من أجل كشف المعلومات ، يتم فحص الأوامر عبر موجز تويتر العام كل 10 ثوانٍ. تم استخدام هذا الحساب لنشر بيانات المستخدمين @jhone87438316 في الأصل ولكن تم تعليق هذا الحساب الآن. 

يقول الباحثون: “يمكن إصدار هذه الأوامر إلى ضحية معينة بناءً على معرف UID الذي تم إنشاؤه على كل هدف (باستخدام معلومات القرص والرقم التسلسلي والمعلومات السياقية مثل اسم المضيف وبرنامج مكافحة الفيروسات ونظام التشغيل) أو جميعها”. 

ومع ذلك ، يتم السرقة الفعلية للبيانات من خلال موفري الخدمات السحابية مثل ImgBB و جوجل درايف Google Drive . يتم تحميل لقطات الشاشة إلى ImgBB ، ويتم تنزيل الثنائيات من Drive ، ويتم تنفيذ الأوامر مع إرسال الإخراج إلى النماذج. 

أحد الجوانب المهمة للبرامج الضارة هو كيفية اختيار الأهداف. تم تنفيذ التصفية على أساس تخطيط لوحة المفاتيح للضحية ، وسيتم تنفيذ البرامج الضارة فقط ضد تلك الموجودة في البلدان الناطقة باللغة العربية. 

يقول الباحثون: “بدأت هذه الحملة في نوفمبر 2019 وما زالت مستمرة”. “في هذا الوقت ، تم إلغاء مفتاح API وتعليق حساب تويتر . ومع ذلك ، يمكن للمهاجم إنشاء حسابات جديدة بسهولة وتحديث الملفات الضارة من أجل الاستمرار في العمل.”

آخر الفيروسات من نوع احصنة طروادة غير العادية التي تم اكتشافها من قبل الباحثين في الوقت الحاضر هو Faketoken. بدأ Faketoken رحلته كشكل من أشكال البرمجيات الخبيثة التي يتم استخدامها من قِبل تروجان Trojans لسطح المكتب التقليدي لاعتراض رموز التحقق المرسلة إلى الأجهزة المحمولة عندما حاول الضحايا تسجيل الدخول إلى حسابات عبر الإنترنت وتطورت إلى تهديد مستقل ، حيث تقوم بإرسال رسائل نصية تلقائية مسيئة الي المستخدمين . 

إن الباحثين في مجال الأمن السيبراني في حيرة بسبب السبب وراء تلك الفيروسات ولكن الهدف سوف يتضح في الايام القادمة السبب الحقيقيي حيث تقوم بسرقة بيانات المستخدمين وتجميعها لهدف ما سيتم اكتشافه ، لذلك وجب الحذر من فتح الملفات النصية وتجنب استخدام خدمات التخزين السحابي مثل جوجل درايف في استقبال رسائل مجهولة المصدر .

اترك تعليق

يرجي التسجيل لترك تعليقك

شكرا للتعليق

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More