كشف باحثو الأمن السيبراني اليوم عن حملة malspam جديدة توزع طروادة للوصول عن بعد (RAT) بزعم احتوائها على فيديو لفضيحة جنسية للرئيس الأمريكي دونالد ترامب.
تأتي رسائل البريد الإلكتروني، التي تحمل سطر الموضوع “GOOD LOAN OFFER !!”، مرفقة بملف أرشيف Java (JAR) يسمى “TRUMP_SEX_SCANDAL_VIDEO.jar”، والذي عند تنزيله يثبت Qua أو Quaverse RAT (QRAT) على الملف المخترق النظام.
قالت ديانا لوبيرا، كبيرة باحثي الأمن في Trustwave، في رسالة مكتوبة: “نشك في أن الأشرار يحاولون ركوب الهيجان الذي أحدثته الانتخابات الرئاسية التي اختتمت مؤخرًا لأن اسم الملف الذي استخدموه في المرفق لا علاقة له تمامًا بموضوع البريد الإلكتروني”.
أحدث حملة هي نسخة من برنامج تنزيل QRAT المستند إلى نظام التشغيل ويندوز والذي اكتشفه باحثو Trustwave في أغسطس.
كيف تعمل البرمجية الخبيثة الجديدة؟
تبدأ سلسلة العدوى برسالة غير مرغوب فيها تحتوي على مرفق مضمن أو رابط يشير إلى ملف مضغوط ضار، يسترد أي منهما ملف JAR (“المواصفات # 0034.jar”) الذي تم خلطه باستخدام مفتاح جافا Allatori obfuscator.
يقوم برنامج التنزيل في المرحلة الأولى بإعداد منصة Node.Js على النظام ثم يقوم بتنزيل وتشغيل برنامج تنزيل من المرحلة الثانية يسمى “wizard.js” وهو المسؤول عن تحقيق المثابرة وجلب وتشغيل Qnode RAT (“qnode-win32-ia32. js “) من خادم يتحكم فيه المهاجم.
للعلم فإن QRAT هو حصان طروادة نموذجي للوصول عن بعد مع العديد من الميزات بما في ذلك، الحصول على معلومات النظام، وإجراء عمليات الملفات، والحصول على بيانات الاعتماد من تطبيقات مثل جوجل كروم و فايرفوكس و Thunderbird و Microsoft Outlook.
ما تغير هذه المرة هو تضمين تنبيه منبثق جديد يخبر الضحية أن JAR قيد التشغيل هو برنامج وصول عن بعد يستخدم لاختبار الاختراق، وهذا يعني أيضًا أن السلوك الضار للعينة لا يبدأ في الظهور إلا بمجرد نقر المستخدم على “حسنًا أعرف ما أفعله”.
وأشارت لوبيرا إلى أن “هذه النافذة المنبثقة غريبة بعض الشيء وربما تكون محاولة لجعل التطبيق يبدو شرعيًا أو صرف المسؤولية عن مؤلفي البرامج الأصليين”.
علاوة على ذلك، يتم تقسيم الكود الخبيث لبرنامج تنزيل JAR إلى مخازن مؤقتة مختلفة مرقمة عشوائيًا في محاولة لتجنب الاكتشاف.
تتضمن التغييرات الأخرى زيادة إجمالية في حجم ملف JAR وإلغاء برنامج تنزيل المرحلة الثانية لصالح سلسلة برامج ضارة محدثة تجلب على الفور حمولة QRAT التي تسمى الآن “boot.js”.
من جانبها، تلقت RAT حصتها الخاصة من التحديثات، مع تشفير الكود الآن بترميز base64، بالإضافة إلى تولي مسؤولية الاستمرار في النظام المستهدف عبر برنامج نصي VBS.
الفيروس ينتشر عبر رسائل إلكترونية
حاليا ينتشر الفيروس الجديد عبر رسائل إلكترونية مختلفة، ومن الممكن جدا أن يتواجد على صفحات ومنتديات تحث العنوان الأصلي وهو فيديو اباحي مسرب للرئيس دونالد ترامب.
الرئيس الأمريكي هو محط اهتمام مجلات الفضائح بسبب علاقاته الشهيرة مع عارضات الأزياء ونجمات الأفلام الإباحية في الماضي، وهذا يعطي لأي محتوى بهذه العناوين جاذبية خاصة.
من الممكن أن يستخدم المخترقين أيضا بعض منصات الأفلام الإباحية للترويج للفيديو المزعوم ووضع الروابط التي تؤدي إلى هذا الملف.
أما إذا كنت تعتقد أنها برمجية خبيثة تنتشر فقط على حواسيب الغربيين فأنت مخطئ، إذ توصلت بعض مصادرنا الخاصة بنفس الرسالة وبنفس العنوان وبها الملف في المرفق.
لكن غالبا ستجد هذه الرسائل في البريد المزعج والذي صنفه جوجل وخدمات البريد الإلكترونية على أنه بريد عشوائي.
ويعد دونالد ترامب من المواضيع الشائعة طيلة سنوات حكمه، وقد استخدم المخترقين هذا الإسم كثيرا حتى في نشر فيروسات الفدية والتي تطلب أموالا مقابل الإفراج عن الملفات التي يتم تشفيرها كلها على الحاسوب.
إقرأ أيضا:
افضل مكافح فيروسات مدفوع للأفراد والشركات
حذف كافة فيروسات الفدية وفك تشفير الملفات المصابة بسهولة
4 أنواع من الفيروسات خطيرة على الحواسيب والهواتف الذكية
