حذرت شركات أمنية من فيروس جديد على الساحة يهاجم أهدافا عديدة في الشرق الأوسط بشكل انتقائي من خلال رسائل غامضة.
وقال باحثو الأمن السيبراني من شركة “سيسكو تالوس” إن فيروس خبيث جديد يسمى JhoneRAT، ينتشر بنشاط من خلال مستندات Microsoft Office تحتوي على وحدات ماكرو ضارة، بحسب موقع “zdnet”.
ينفذ الفيروس هجماته من خلال 3 مستندات، أولها يسمى “Urgent.docx”، والثاني، “fb.docx” ويدعي أنه يحتوي على بيانات عن تسرب لمعلومات فيسبوك، والثالث يدعي أنه من منظمة إماراتية شرعية، جميعها تظهر وتطلب من المستلم تمكين التحرير باللغتين العربية والإنجليزية.
في كل حالة، عندما يتم تمكين التحرير، يتم تحميل مستند Office إضافي وتثبيته في حين أنه يحتوي على ماكرو ضار، ويقول الفريق الأمني إن هذه المستندات موجودة عبر Google Drive لتجنب إدراجها في قوائم سوداء.
JhoneRAT مكتوب بلغة Python ويتم إرساله من خلال Google Drive، ويستضيف صورًا تحتوي على قاعدة ثنائية مشفرة base64 ملحقة في نهايته، هذه الصور بمجرد تحميلها على جهاز يصبح عرضة للإصابة بفيروسات خبيثة تبدأ فورًا في جمع المعلومات من جهاز الضحية، بما في ذلك كل ما يكتبه والأرقام التسلسلية لقرص التخزين وبياناته وكلامات المرور ونظام التشغيل المستخدم وغير ذلك الكثير.
أحد الجوانب المهمة للبرامج الضارة هو كيفية اختيار الأهداف، إذ يتم تنفيذ التصفية على أساس تخطيط لوحة المفاتيح للضحية، ويتم تنفيذ البرامج الضارة فقط ضد تلك الموجودة في البلدان الناطقة باللغة العربية.
تقول شركة الأمن السيبراني إن JhoneRAT تستهدف المملكة العربية السعودية والعراق ومصر وليبيا والجزائر والمغرب وتونس وسلطنة عمان واليمن وسوريا والإمارات العربية المتحدة والكويت والبحرين ولبنان.
