فايروسات مخبأة في وثائق وهمية للثورة لاستهداف النشطاء السوريين

تصاعدت الحملة على استخدام الهندسة الاجتماعية لتثبيت برامج مراقبة وذلك  للتجسس على نشطاء سوريين , خصوصاً مع تعقيد الوضع وزيادة العنف في سوريا. فمنذ بداية هذا العام، تم استهداف نشطاء المعارضة السورية باستخدام  تروجانات  Trojans عديدة, منها ما هو موضوع على أساس أداة لتشفير السكايب وقد نبهنا على ذلك في تدوينة سابقة ، تعمل هذه البرامج على التجسس سراً على جهاز الكمبيوتر المصاب، فضلاً عن انه تم استعمال عدد وافر من هجمات التصيد phishing attacks لسرقة حسابات اليوتيوب والدخول لحسابات الفيسبوك.

استهدفت الحملة الأخيرة الناشطين السوريين على سكايب وذلك عن طريق استلام ملف Trojan يحوي ملف PDF بداخله خطة وهمية لمساعدة مدينة حلب، حيث أن الاحتجاجات المعارِضة قد نمت نمواً مطرداً بعد استهداف السكن الجامعي لجامعة حلب مما أسفر عن وفاة أربعة طلاب وإغلاق مؤقت لجامعة حلب الحكومية في وقت سابق من شهر أيار/مايو السابق .لدينا العديد من التقارير عن مثل هذه الهجمات، أحد هذه الهجمات الالكترونية كان عن طريق تروجان يسمى DarkComet RAT، وهو أداة لإدارة الكمبيوتر عن بعد يسمح للمهاجمين بإلتقاط نشاط الكاميرا المثبته على الجهاز، وتعطيل برامج مكافحة الفيروسات، وتسجيل النقرات على لوحة المفاتيح مما يعني سرقة كلمات السر، وأكثر من ذلك أيضاً-و يقوم هذا التروجان بإرسال تلك المعلومات الحساسة إلى عنوان IP سوري ذاته المستخدم في هجمات سابقة والتي تم  شرحها في TrendMicro و  Symantec و سايبر عرب، والعديد من التدوينات في EFF.

بدأ الهجوم من خلال سكايب من خلال الرسالة التالية باللغة العربية:

[29/05/2012 18:03:44] Aleppo Team || …: اخر تعديل لخطة حلب حان وقت الجهاد
[29/05/2012 18:03:46] Aleppo Team || …: أرسل الملف “خطة النهاية2.rar”

وباللغة الانكليزية كالتالي:

[29/05/2012 18:03:44] Aleppo Team | | …: Last modified plan Aleppo time for Jihad
[29/05/2012 18:03:46] Aleppo Team | | …: Send the file “plan eventually 2.rar”

بعد استخراج الملف المضغوط RAR يكون لدينا مجلد يسمى: “خطة حلب” كما هو مبين في الصورة أدناه.


داخل هذا المجلد يوجد ملف يسمى aleppo_plan_ خطة _ تحريك _ حلب cercs.pdf. إن عرض النص من اليمين إلى اليسار يجعل  هذا الملف يبدو أنه ملف PDF، ولكن في الحقيقة هو ملف SCR كما هو مبين في الصورة أدناه .


الملف SCR هو الملف الخبيث

تحليل الملف المسمى خطة تحريك حلب الذي يحمل الـ MD5 هاش رقم :bc403bef3c2372cb4c76428d42e8d188
الملف يبدو للوهلة الأولى انه ملف كتاب إلكتروني PDF لكن بعد التحليل يظهر بداخله ما يلي:

C:\Documents and Settings\Administrator\StartMenu\Programs\Startup\(empty).lnk
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\explorer.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Aleppo plan.pdf
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Firefox.dll

والصورة التالية تبين ذلك:


يقوم الملف أولا بتشغيل explorer.exe والذي يقوم بتثبيت DarkComet RAT ثم فتح الملف الذي يمثل الكتاب الالكتروني أو الوثيقة الذي تشرح الخطة المزعومة لتحريك حلب وتتضمن الوثيقة مناقشة لوجستية مفصلة والتي ستكون مثيرة جداً للاهتمام من قبل المعارضين والنشطاء السوريين. قد يكون بعض الكلام الموجود في الوثيقة صحيح لكن المصيبة أن الصفحة الأولى من الوثيقة تحوي على علم نظام الأسد وليس علم الثورة !!

اعتبارا من 29 مايو/أيار 2012 ، فإن هذا الإصدار من DarkComet لا يمكن كشفه بواسطة أي برنامج مكافحة فيروسات. للاطلاع على مناقشة مفصلة حول كيفية إيجاد وإزالة تروجان DarkComet من جهاز الكمبيوتر الخاص بك، الرجاء مراجعه هذه التدوينة.

وينبغي على جميع  مستخدمي الإنترنت في سورية توخي الحذر وخاصة عند تحميل الوثائق والملفات المرسلة عبر سكايب، حتى لو كانت الرسالة تأتي ممن يزعم أنه صديق لنا في السكايب.

نرجو النشر وإبلاغ الجميع للحفاظ على سلامة جميع الناشطين السوريين…عشتم وعاشت سوريا حرة أبية.

المقالة مترجمة من منظمة EFF لحماية ناشطي الانترنت والدفاع عن قضايا حرية التعبير.

2 تعليقات على “فايروسات مخبأة في وثائق وهمية للثورة لاستهداف النشطاء السوريين

ناقش معنا الموضوع

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

WordPress.com Logo

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   / تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   / تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   / تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   / تغيير )

Connecting to %s