خبير أمن سيبراني يحذر من «طعوم كورونا» الخبيثة
حذر خبير أمن سيبراني مستخدمي الإنترنت من انتشار رسائل تصيد احتيالي تستخدم عنوان «فيروس كورونا المستجد / كوفيد – 19) كـ«طُعوم» أو مرفقات البريد الإلكتروني والروابط التي تبدو وكأنها أصلية ولكنها في واقع الأمر هي ملفات وروابط مشبوهة وضارة، وذلك بالتزامن مع انتشار استخدام الإنترنت بصورة ملحوظة لتيسير العمل والتعلم عن بعد.
وتوقع الخبير استمرار الجهات الخبيثة في استغلال إحساس السكان بالإلحاح، والخوف، وحسن النية، وعدم الثقة لتعزيز عملياتهم وهجماتهم وخاصةً فيما يتعلق بالأحداث والأفعال التي ترتبط بشكل مباشر بالمجال الطبي، والإعلانات الحكومية، والآثار الاقتصادية، ووفيات الأشخاص البارزين والمشاهير، والاحتجاجات المدنية.
وأكّد ينس مونراد، رئيس وحدة الاستخبارات في أوروبا، والشرق الأوسط، وإفريقيا في شركة «فاير آي» زيادة نشاط جماعات الجريمة الإلكترونية في التجسس وطلب الفدية عبر الإنترنت باستخدام تلك الرسائل منذ يناير الماضي مستغلة الذعر الحاصل من «كورونا»ورغبة الناس في كشف غموض هذا الفيروس.
وأوضح في تصريحات خاصة لـ(البيان الاقتصادي» أن تلك البرمجيات الضارة تشمل «إموتيت» (Emotet)، و«تريك بوت» (Trickbot)، و«نانوكور» (Nanocore)، و«أزورولت» (AZORult)، و«فورم بوك» (FormBook)، و«ريمكوس رات» (Remcos RAT)، و«العميل تسلا» (AgentTesla).
وأوضح مونراد: «هناك أنواع مختلفة لطُعوم عمليات التصيد الاحتيالي، حيث تدعي تلك الطُعوم بأنها من مصادر رعاية صحية معروفة على نطاق واسع مثل الادعاء بأن البريد مرسل من منظمة الصحة العالمية لتكون محددة جداً وذات صلة بجمهور صغير.
كما لاحظنا أيضاً نشاطاً للجرائم الإلكترونية في المنتديات والمواقع الإلكترونية المختلفة حيث يطرح «بائعون» إعلانات لبيع مواد طبية بغرض استغلال الوضع الحالي. في حين قد تحوي هذه الإعلانات المدرجة تحت روابط لخرائط تعقب انتشار الفيروس على برمجيات خبيثة أو أي كود خبيث آخر مستخدم في حملات التصيد الخاصة بفيروس «كورونا» المستجد (كوفيد-19).
وحول الجهات التي تقوم بذلك، قال مونراد: شاهدنا زيادة في نشاط أهم جهات التجسس في كل من الصين وكوريا الشمالية وروسيا، والتي تعمل على استغلال موضوع فيروس«كورونا» المستجد لتحقيق أهدافها ومآربها في حملات التصيد الاحتيالي التي تشنها.
ففي الصين وبدءاً من أواخر فبراير وأوائل مارس لهذا العام، استغلت مجموعة «TEMP.Hex» موضوع انتشار فيروس (كورونا) المستجد لنشر حمولات من نوع «SOGU» و«COBALTSTRIKE».
ونشك بأن هذه الحملات قد اسُتخدمت ضد كيانات في فيتنام والفلبين وتايوان. وكانت الطُعوم عبارة عن تصريحات حقيقية من قبل القادة السياسيين أو نصائح حقيقية لأولئك الذين يشعرون بالقلق من المرض، والمأخوذة على الأرجح من مصادر عامة.
وتُعرف مجموعة «TEMP.Hex» بأنها مجموعة صينية استهدفت منطقة شرق آسيا منذ عام 2010. في حين استهدفت مجموعة صينية منفصلة دولة منغوليا باستخدام طُعم تحت عنوان فيروس (كورونا) المستجد باستخدام برمجية الباب الخلفي المشهورة (POISONIVY)، والتي تعتبر من أهم برمجيات الباب الخلفي المشهورة والمتاحة على نطاق واسع في عالم الأمن السيبراني.
دوافع مالية
وأشار مونراد إلى وجود زيادة كبيرة كذلك في حجم حملات التصيد الاحتيالي ذات الدوافع المالية والتي يعتمد فيها المهاجمون استخدام طُعوم «كوفيد-19» لتحقيق مآربهم. كما تم دعم هذه الحملات التخريبية بتوزيع العديد من عائلات البرامج الضارة الشائعة كبرمجية «تريك بوت» الخبيثة.
وأضاف: نتوقع استمرارية استخدام طُعوم «فيروس كورونا المستجد» من قبل المهاجمين الموجهين بدوافع مالية خلال الفترة القادمة نظراً للأهمية العالمية للموضوع والخوف والحذر لدى العديد من الناس والذين هم أكثر عرضةً للاستهداف من قبل هذه الحملات.
وحول ما يجب على المستخدمين والشركات فعله لحماية بياناتهم في ظل هذه الظروف، قال مونراد: نحن نشجع المستخدمين على اليقظة وتوخي الحذر بشأن الحملات التي تعتمد على الهندسة الاجتماعية والمعلومات المضللة المتعلقة بفيروس (كورونا) المستجد، حيث من الواجب عليهم استخدام مصادر موثوقة حكومية لأية معلومات تتعلق بالوضع الحالي.
بالإضافة إلى الحالات التي يتلقون فيها رسائل البريد الإلكتروني المتعلقة بفيروس (كورونا) المستجد، فيجب عليهم أن يدرسوا بعناية سبب استلامهم لها وأن يفكروا في عدم التعامل مع هذا النوع من الرسائل.
