برمجية خبيثة تتجسس على المستخدمين في الدول العربية

وتم تصميم البرمجية لتستهدف فقط الدول الناطقة باللغة العربية. وتقول المؤسسة إن البرمجية تستهدف السعودية والعراق ومصر وليبيا والجزائر والمغرب وتونس وسلطنة عمان واليمن وسورية والإمارات والكويت والبحرين ولبنان.

وتنتشر البرمجية بنشاط من خلال مستندات Microsoft Office، وتحتوي على وحدات ماكرو ضارة.

وتم رصد المستندات الأولى من خلال حملات خداع تحمل اسم Urgent.docx تطلب من المستلم السماح بالتحرير باللغتين العربية والإنكليزية. وحملت الثانية اسم fb.docx وتدعي أنها تحتوي على بيانات عن تسرب لمعلومات "فيسبوك"، والثالثة تدعي أنها من مؤسسة إماراتية.

وفي كل الحالات السابقة، إذا منح المستخدم إمكانية التحرير، يتم تحميل مستند Office إضافي وتنفيذه. وهذا المستند يحتوي على البرمجية الضارة.

ويقول الفريق إن هذه المستندات مستضافة على منصة التخزين السحابي Google Drive "لتجنب إدراج عناوين URL في القائمة السوداء".

وتستضيف JhoneRAT صوراً، بمجرد تحميلها على جهاز تنشر البرمجية وتبدأ على الفور في جمع المعلومات من جهاز الضحية بما في ذلك النصوص والأرقام التسلسلية ونظام التشغيل المستخدم، وغيرها. 

وتتم السرقة الفعلية للبيانات من خلال موفري الخدمات السحابية ImgBB وGoogle Drive وForms. ويقول الباحثون: "بدأت هذه الحملة في نوفمبر/تشرين الثاني 2019 وما زالت مستمرة"، "في هذا الوقت، تم إلغاء مفتاح API وتعليق حساب "تويتر". ومع ذلك، يمكن للمهاجم إنشاء حسابات جديدة وتحديث الملفات الضارة بسهولة حتى تظل يعمل".