حملة تستهدف الناشطين السوريين مع استخدام برامج مراقبة جديدة

منذ بداية السنة، تصاعدت وتيرة وتطور الهجمات على نشطاء المعارضة السورية من قبل قراصنة مؤيدين للحكومة السورية وذلك عن طريق استخدام أحصنة طروادة أو ما يعرف بإسم التروجان Trojan. والتي تقوم بتثبيت برامج تجسس على أجهزة الكمبيوتر المصابة، وكذلك تم استخدام  هجمات الخداع phishing attacks لسرقة حسابات اليوتيوب و الفيسبوك للناشطين السوريين.

أحدث البرامج الضارة المستخدمة لمراقبة الناشطين يأتي على شكل ملف يظهر للوهلة الأولى وكأنه ملف كتاب إلكتروني PDF وذلك في حال قمت بتعطيل عرض ملحقات extensions  الملفات لديك.

الملف يظهر وكأنه وثيقة بشأن تشكيل مجلس قيادة الثورة السورية، ويتم ارسالها عن طريق سكايب.التروجان المدمج مع الوثيقة يقوم بتثبيت أداة الإدارة عن بعد DarkComet RAT، والتي  تستطيع تسجيل نشاط  الكاميرا الموصولة بالجهاز، وتعطيل اشعارات برامج مكافحة الفيروسات ، وتسجيل النقرات على لوحة المفاتيح مما يعني سرقة كلمات السر، وأكثر من ذلك أيضاً.

ثم يقوم هذا التروجان بإرسال هذه البيانات إلى نفس عنوان الـ IP السوري المستخدم في هجمات سابقة والتي أشارات إليها قناة CNN في تقاريرها في شباط الماضي وكذلك أشارت إليها منظمة EFF في  شهر آذار من هذا العام.

ينبغي على جميع مستخدمي الإنترنت في سوريا أن يكونوا حذرين للغاية من النقر على روابط مريبة المظهر، أو تحميل وثائق خاصة، حتى لو كانت تلك الوثائق يتظاهر البعض انها مرسلة من قبل أصدقائك.

الصورة ادناه تبين ملف أدوبي مزيّف يظهر على شكل كتاب إلكتروني PDF.


عند الاستخراج الذاتي للملف المسمى  : ورقة حول مجلس القيادة_as‮rcs.fdp.scr

ينفذ الملف العديد من الإجراءات, أحدها هو فتح ملف الـ PDF الذين ترونه في الصورة التالية.


الصورة ادناه تبين الملفات الأخرى التي تم زرعها في جهازك أثناء عملية أظهار وثيقة الـ PDF
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\(Empty).lnk
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ورقة حول مجلس القيادة.pdf
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Explorer.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\msdlg.ocx

بالإضافة إلى ذلك، بعد بدء كتابة، يقوم بإنشاء مجلد لتسجيل ضربات المفاتيح keylogger:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dclogs


الصورة ادناه تبين أن التروجان DarkComet RAT يعمل على جهاز الكمبيوتر الخاص بك. إذهب إلى مدير المهام عن طريق الضغط على Ctrl + Shift + ESC وأنقر على علامة التبويب العمليات. العملية المسماة Svchost.exe والتي سوف تعمل تحت اسم المستخدم الخاص بك. في هذا المثال، المستخدم هو Administrator. في الحالة السليمة يجب أن يعمل Svchost.exe تحت اسم المستخدم System.

الصورة ادناه تبين الرابط في بدأ التشغيل المدعو Empty والذي أنشأه ملف التروجان.


كما حصل في الرابع من أبريل/نيسان حيث لم يعد بالامكان الكشف عن تروجان DarkComet RAT بإستخدام أدوات مكافحة الفيروسات . حيث يتم الكشف عنها وإزالتها بإستخدام اداة حذف التروجان DarkComet RAT removal tool  والتي تم شرحها في هذه التدوينة السابقة.

الصورة التالية تظهر استخدام الأداة التي تقوم بالكشف عن وحذف تروجان DarkComet RAT من جهاز الكمبيوتر لديك , كذلك الهجوم المستخدم لسرقة كلمة سر حسابك في اليوتيوب يتم كشفه بواسطة نفس الأداة السابقة.

تشعر منظمة EFF بقلق عميق من الهجمات التي تستهدف بإستمرار نشطاء الانترنت السوريين .وتقوم بجمع الأدلة التي تشير إلى تنفيذ هجمات من قبل مجموعات أو أفراد في مكان ما داخل سوريا.وسوف نستمر في المراقبة عن كثب لكافة التطورات الحاصلة.

نرجو النشر للجميع كي يعرفوا أساليب النظام في ملاحقة الناشطين على الانترنت وللحفاظ على سلامتهم. عشتم وعاشت سوريا حرة أبية.

المقالة مترجمة من منظمة EFF لحماية ناشطي الانترنت والدفاع عن قضايا حرية التعبير.

ناقش معنا الموضوع

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

WordPress.com Logo

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   / تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   / تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   / تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   / تغيير )

Connecting to %s